Gitlab preview_markdown端点存在ReDos漏洞(CVE-2023-3424)

CVE编号

CVE-2023-3424

利用情况

暂无

补丁情况

N/A

披露时间

2023-07-13
漏洞描述
GitLab 是一个开源的代码托管平台。
受影响版本中由于 EpicReferenceFilter 未对 Markdown 字段有效过滤,攻击者可将恶意负载发送到 preview_markdown 端点造成正则表达式拒绝服务。
解决建议
"升级GitLab CE/EE到 15.11.10 或 16.0.6 或 16.1.1 或更高版本"
"官方已发布补丁:https://github.com/gitlabhq/gitlabhq/commit/72954e75623e4c924fb6589b99589e4f29b0e15d"
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 gitlab gitlab * From
(including)
10.3.0
Up to
(excluding)
15.11.10
运行在以下环境
应用 gitlab gitlab * From
(including)
16.0.0
Up to
(excluding)
16.0.6
运行在以下环境
应用 gitlab gitlab * From
(including)
16.1.0
Up to
(excluding)
16.1.1
运行在以下环境
系统 alma_linux_8 cups * Up to
(excluding)
2.2.6-54.el8_9
运行在以下环境
系统 alma_linux_9 cups * Up to
(excluding)
2.3.3op2-21.el9
运行在以下环境
系统 fedora_37 cups * Up to
(excluding)
2.4.6-1.fc37
运行在以下环境
系统 fedora_38 cups * Up to
(excluding)
2.4.6-1.fc38
运行在以下环境
系统 kylinos_aarch64_V10 cups * Up to
(excluding)
2.2.13-19.p01.ky10
运行在以下环境
系统 kylinos_aarch64_V10HPC cups * Up to
(excluding)
2.4.0-10.ky10h
运行在以下环境
系统 kylinos_aarch64_V10SP1 cups * Up to
(excluding)
2.2.13-18.ky10
运行在以下环境
系统 kylinos_aarch64_V10SP2 cups * Up to
(excluding)
2.2.13-18.ky10
运行在以下环境
系统 kylinos_aarch64_V10SP3 cups * Up to
(excluding)
2.2.13-19.p01.ky10
运行在以下环境
系统 kylinos_loongarch64_V10SP3 cups * Up to
(excluding)
2.2.13-19.p01.a.ky10
运行在以下环境
系统 kylinos_x86_64_V10 cups * Up to
(excluding)
2.2.13-19.p01.ky10
运行在以下环境
系统 kylinos_x86_64_V10HPC cups * Up to
(excluding)
2.4.0-10.ky10h
运行在以下环境
系统 kylinos_x86_64_V10SP1 cups * Up to
(excluding)
2.2.13-18.ky10
运行在以下环境
系统 kylinos_x86_64_V10SP2 cups * Up to
(excluding)
2.2.13-18.ky10
运行在以下环境
系统 kylinos_x86_64_V10SP3 cups * Up to
(excluding)
2.2.13-19.p01.ky10
运行在以下环境
系统 redhat_8 cups * Up to
(excluding)
2.2.6-54.el8_9
运行在以下环境
系统 redhat_9 cups * Up to
(excluding)
2.3.3op2-21.el9
运行在以下环境
系统 suse_12_SP5 cups * Up to
(excluding)
1.7.5-20.46.1
CVSS3评分
7.5
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CWE-ID 漏洞类型
CWE-1333 Inefficient Regular Expression Complexity
阿里云安全产品覆盖情况