【安全漏洞公告】GitLab 跨站脚本漏洞（CNNVD-202303-577）

一、漏洞简介

GitLab是美国GitLab公司的一个开源的端到端软件开发平台，具有内置的版本控制、问题跟踪、代码审查、CI/CD（持续集成和持续交付）等功能。

GitLab 存在安全漏洞，该漏洞源于特制的 Kroki 图可能导致在客户端触发存储型跨站脚本漏洞，从而允许攻击者代表受害者执行任意操作。

二、影响范围

13.7 <= GitLab CE/EE < 15.7.8

15.8 <= GitLab CE/EE < 15.8.4

15.9 <= GitLab CE/EE < 15.9.2

三、解决措施

目前官方已在最新版本中修复了该漏洞，请受影响的用户尽快升级版本进行防护，最新版本下载链接如下：

GitLab CE/EE 版本>= 15.7.8

GitLab CE/EE 版本>= 15.8.4

GitLab CE/EE 版本>= 15.9.2

https://about.gitlab.com/update/

四、参考链接

https://gitlab.com/gitlab-org/cves/-/blob/master/2023/CVE-2023-0050.json

https://gitlab.com/gitlab-org/gitlab/-/issues/387023

https://hackerone.com/reports/1731349

https://cxsecurity.com/cveshow/CVE-2023-0050/

https://www.auscert.org.au/bulletins/ESB-2023.1405