一、漏洞详情
GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。
近日,监测到GitLab社区版(CE)和企业版(EE)中存在Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274)。由于GitLab CE/EE中的Kubernetes代理功能未正确处理或验证注入的Network Error Logging (NEL)头,攻击者可通过在 Kubernetes 代理响应中注入恶意NEL标头,成功利用该漏洞可能导致会话相关数据泄露,这些数据可能被滥用来进行帐户接管(ATO),从而实现未授权访问和控制用户帐户。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻
二、影响范围
16.1 <= GitLab CE/EE < 17.4.6
17.5 <= GitLab CE/EE < 17.5.4
17.6 <= GitLab CE/EE < 17.6.2
三、修复建议
目前该漏洞已经修复,受影响用户可升级到GitLab CE/EE 17.6.2、17.5.4、17.4.6 或更高版本。