【严重】GitLab 以其他用户身份执行 Slack 命令

 漏洞描述

GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。使用 Slack 命令在 Slack 聊天环境中运行常见的 GitLab 操作。

GitLab 受影响版本中，由于配置Slack/Mattermost 集成时，未正确验证用户身份信息，导致攻击者可以使用其他用户身份执行 Slack 命令。

漏洞名称	GitLab 以其他用户身份执行 Slack 命令
漏洞类型	身份验证错误
发现时间	2024/1/12
漏洞影响广度	广
MPS编号	MPS-pf0c-qykt
CVE编号	CVE-2023-5356
CNVD编号	-

影响范围

gitlab@[8.13, 16.5.6)

gitlab@[16.6, 16.6.4)

gitlab@[16.7, 16.7.2)

gitlab@影响所有版本

修复方案

将组件 gitlab 升级至 16.5.6 及以上版本

将组件 gitlab 升级至 16.6.4 及以上版本

将组件 gitlab 升级至 16.7.2 及以上版本

参考链接

OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

Add verification layer for BaseSlash commands (f972a674) · Commits · GitLab.org / GitLab · GitLab

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自于百度、华为、乌云等企业，旗下的 MurphySec 软件供应链安全平台提供资产识别管理、风险检测、安全控制、一键修复等能力。

免费漏洞情报订阅

平台会通过实时监控多方渠道并进行人工分析，一手情报订阅地址：OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

免费代码安全检测工具

丰富的漏洞库及强大的检测能力，杜绝漏洞带来的风险隐患，工具地址： 墨菲安全 | 为您提供专业的软件供应链安全管理

开源项目

核心检测能力已开源，欢迎各位同学 Star⭐️

https://github.com/murphysecurity/murphysec/?sf=qbyj