内容简介:编者注:疲于应付各种漏洞影响,欢迎使用 gitee.com 漏洞预警 Gitlab Wiki API 远程代码执行漏洞 CVE-2018-18649 2018 年 10 月 30 日,Gitlab 官方发布安全更新通告,披露了一个远程代码执行漏洞,攻击者利用漏洞...
编者注:疲于应付各种漏洞影响,欢迎使用 gitee.com
漏洞预警 Gitlab Wiki API 远程代码执行漏洞 CVE-2018-18649
2018 年 10 月 30 日,Gitlab 官方发布安全更新通告,披露了一个远程代码执行漏洞,攻击者利用漏洞可直接获取服务器权限。
漏洞描述
Gitlab Wiki API 是一组用于对 Gitlab 项目 Wiki 页面进行创建、编辑、列表、删除等功能的接口。该 API 在处理外部输入时未做有效过滤,导致攻击者构造特定的恶意请求,可以在目标服务器上执行任意代码命令。
影响范围
Gitlab CE/EE 11.3 及之后的版本
风险评级
CVE-2018-18649:严重
安全建议
方案一:
升级 Gitlab CE/EE 至最新版本,官方升级引导链接:https://about.gitlab.com/update/
方案二:
1、进入 Gitlab 实例的/admin/application_settings 页面
2、在 Import sources 选项下取消 GitLab export 的选中复选框
3、点击 Save 保存
官方公告
https://about.gitlab.com/2018/10/29/security-release-gitlab-11-dot-4-dot-3-released/
原文链接:漏洞预警 Gitlab Wiki API 远程代码执行漏洞
【声明】文章转载自:开源中国社区 [http://www.oschina.net]
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- Wordpress 插件出现漏洞,网站可能被攻击者接管
- Apache Ignite 高危漏洞预警:攻击者可执行任意代码
- Docker 所有版本都中招,重大漏洞允许攻击者访问主机文件系统
- 西数My Cloud曝安全漏洞 攻击者可获得完整访问权限
- Telecrane起重机爆漏洞:攻击者可重放信号控制设备
- 西门子SINUMERIK产品曝多个漏洞,允许攻击者远程执行任意代码
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
500 Lines or Less
Amy Brown、Michael DiBernardo / 2016-6-28 / USD 35.00
This book provides you with the chance to study how 26 experienced programmers think when they are building something new. The programs you will read about in this book were all written from scratch t......一起来看看 《500 Lines or Less》 这本书的介绍吧!
