GitLab揭露高风险漏洞,未经身分验证的攻击者可发动XSS攻击接管帐号
支付動態 · 2024-05-24
本周GitLab针对社群版(CE)及企业版(EE)发布更新,修补一系列漏洞,其中最值得留意的部分,是能借由IDE工具触发的高风险漏洞CVE-2024-4835,若不修补,攻击者可用于泄漏用户机密信息
5月22日GitLab发布社群版(CE)及企业版(EE)的17.0.1、16.11.3、16.10.6更新,当中修补7个漏洞,其中有1个被列为高风险层级,而特别值得留意。
这项高风险漏洞是CVE-2024-4835,为一键点击的帐号挟持漏洞,攻击者可制作恶意网页,在未经身分验证的情况下,利用Visual Studio Code代码编辑器(网页IDE)触发漏洞进行跨网站脚本(XSS)攻击,从而泄漏用户机敏信息,进而有机会接管帐号,CVSS风险评为8.0分。
其余中等层级的漏洞当中,危险程度较高的是:runner说明字段的阻断服务(DoS)漏洞CVE-2024-2874、K8s集群集成的跨网站伪造请求(CSRF)漏洞CVE-2023-7045等,上述漏洞的CVSS风险评分为6.5、5.4。
热门文章
BETFAIR 网络攻击80万用户资料泄露
游戏风向
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
巴西颁布新法赋权央行封锁非法博彩账户及 Pix 交易
支付动态
哈萨克斯坦计划对在线赌场促销活动进行处罚
游戏风向
张侨伟参议员排除全面禁止,敦促菲律宾规范网络赌博
东南亚资讯
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
灰度世界杯嘉年华狂欢派对吉隆坡站即将开启,业务拓展人脉社交从马来西亚开始
灰度头条
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
超级PAC筹资4800万美元:体育博彩势力加码
游戏风向
英国确认各垂直行业的赌博税税率
游戏风向
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
