1.漏洞概述

2024 年 2 月 23 日，安全运营中心监测到 GitLab 16.9 存储型 XSS 漏洞，漏洞编号：CVE-2024-1451，漏洞威胁等级：高危。

2.漏洞详情

GitLab 是由 GitLab 公司开发的、基于 Git 的集成软件开发平台。GitLab 受影响版本中的用户资料页面存在存储型 XSS 漏洞，攻击者可将恶意载荷添加到个人资料(Pronunciation 字段)中，并诱导其他用户访问攻击者个人资料进而执行恶意 js，攻击者可能利用该漏洞窃取用户会话令牌等敏感信息。

3.影响版本

16.9<=gitlab<16.9.1

4.处置建议

将组件 gitlab 升级至 16.9.1 及以上版本。

https://gitlab.com/gitlab-org/gitlab-foss/-/commit

/eac095941872f337e573563fe59f5c57f7d7c448

预警通告来源：赛尔网络安全运营中心

联系人：梁宇

邮箱：liangyu@cernet.com

电话：15848147651