【漏洞通告】 GitLab EE 权限绕过漏洞 和 Spring Framework 路径遍历漏洞
GitLab EE 权限绕过漏洞 (CVE-2024-9164)
漏洞描述
2024年10月10日,深瞳漏洞实验室监测到一则GitLab组件存在权限绕过漏洞的信息,漏洞编号:CVE-2024-9164,漏洞威胁等级:严重。
GitLab EE存在一个高危漏洞,低权限的攻击者可以在任意分支上运行pipelines,导致执行恶意代码和泄露敏感信息。
影响范围
目前受影响的GitLab版本:
12.5 ≤ GitLab EE < 17.2.9
17.3 ≤ GitLab EE < 17.3.5
17.4 ≤ GitLab EE < 17.4.2
解决方案
如何检测组件系统版本
直接在浏览器中输入GitLab 服务器地址/help,比如:https://your.gitlab.com/help。界面上有GitLab 的版本信息。
官方修复建议
官方已发布最新版本修复该漏洞,受影响用户请将GitLab EE更新到17.4.2, 17.3.5, 17.2.9及以上版本。下载链接: https://about.gitlab.com/update
Spring Framework 路径遍历漏洞(CVE-2024-38819)
漏洞分析
组件介绍
Spring 框架为现代基于 Java 的企业应用程序提供了一个全面的编程和配置模型——在任何类型的部署平台上。
漏洞描述
2024年10月18日,深瞳漏洞实验室监测到一则威睿-Spring Framework组件存在目录遍历漏洞的信息,漏洞编号:CVE-2024-38819,漏洞威胁等级:高危。
历史版本的Spring Framework在使用WebMvc.fn 或 WebFlux.fn时存在路 径遍历漏洞,攻击者可以构造恶意HTTP请求在文件系统上获取文件导致信息泄露。
影响范围
目前受影响的威睿-Spring Framework版本:
5.3.0 ≤ Spring Framework ≤ 5.3.40
6.0.0 ≤ Spring Framework ≤ 6.0.24
6.1.0 ≤ Spring Framework ≤ 6.1.13
解决方案
1.官方修复建议
安全版本:
Spring Framework 5.3.41
Spring Framework 6.0.25
Spring Framework 6.1.14
官方已发布最新版本修复该漏洞,请将Spring Framework服务器更新到5.3.41,6.0.25,6.1.14及以上版本,下载链接:https://github.com/spring-projects/spring-framework/tags
