GitLab LFS Token 权限提升漏洞(CVE-2024-8114)安全风险通告
2024-11-27 11:0:0 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

● 点击↑蓝字关注我们,获取更多安全风险通告

漏洞概述

漏洞名称

GitLab LFS Token 权限提升漏洞

漏洞编号

QVD-2024-48685,CVE-2024-8114

公开时间

2024-11-26

影响量级

百万级

奇安信评级

高危

CVSS 3.1分数

8.2

威胁类型

权限提升

利用可能性

POC状态

未公开

在野利用状态

未发现

EXP状态

未公开

技术细节状态

未公开

危害描述:攻击者可以利用受害者的个人访问令牌(PAT)通过此漏洞提升权限,获取敏感信息并修改数据。

01
漏洞详情
>>>>

影响组件

GitLab是一款用于仓库管理的开源项目,它提供了一整套工具来帮助开发团队进行项目管理、代码托管、持续集成/持续部署(CI/CD)、监控、以及更多的功能。

>>>>

漏洞描述

近日,奇安信CERT监测到官方修复GitLab LFS Token 权限提升漏洞(CVE-2024-8114),由于GitLab对LFS令牌的处理存在缺陷,使得攻击者可以利用用户的个人访问令牌(PAT)来获取LFS令牌,进而以该用户的身份执行未经授权的操作,比如读取或修改存储在LFS中的敏感文件。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。

02
影响范围
>>>>

影响版本

8.12 <= GitLab CE/EE < 17.4.5

GitLab CE/EE 17.5.* < 17.5.3

GitLab CE/EE 17.6.* < 17.6.1

>>>>

其他受影响组件

03
受影响资产情况

奇安信鹰图资产测绘平台数据显示,GitLab LFS Token 权限提升漏洞(CVE-2024-8114)关联的国内风险资产总数为2246075个,关联IP总数为57863个。国内风险资产分布情况如下:

GitLab LFS Token 权限提升漏洞(CVE-2024-8114)关联的全球风险资产总数为2498086个,关联IP总数为113775个。全球风险资产分布情况如下:

04
处置建议
>>>>

安全更新

目前官方已有可更新版本,建议受影响用户升级至最新版本:

GitLab CE/EE 17.6.* >= 17.6.1

GitLab CE/EE 17.5.* >= 17.5.3

GitLab CE/EE >= 17.4.5

官方补丁下载地址:

https://about.gitlab.com/update

05
参考资料

[1]https://about.gitlab.com/releases/2024/11/26/patch-release-gitlab-17-6-1-released/

06
时间线

2024年11月27日,奇安信 CERT发布安全风险通告。

07
漏洞情报服务

奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:

奇安信 CERT
致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

点击↓阅读原文,到ALPHA威胁分析平台订阅更多漏洞信息。


文章来源: https://mp.weixin.qq.com/s?__biz=MzU5NDgxODU1MQ==&mid=2247502491&idx=1&sn=6bfeace574bf3ea581fbbb82cf005900&chksm=fe79ee03c90e67153a7cdca590eff3bbebfc9d7026e656bebc14779be100a7bee9b71f13927a&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh