飞速收录
首页 安全厂商内容详情

GitLab Kubernetes Proxy Response NEL头注入漏洞

2024-12-12 55 zadmin
GitLab Kubernetes Proxy Response NEL头注入漏洞

站点名称:GitLab Kubernetes Proxy Response NEL头注入漏洞

所属分类:安全厂商

官方网址:

SEO查询: 爱站网 站长工具

进入网站

站点介绍


 


漏洞描述


GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。2024年12月12日,启明星辰集团VSRC监测到GitLab社区版(CE)和企业版(EE)中存在Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274),该漏洞的CVSS评分为8.7。由于GitLab CE/EE中的Kubernetes代理功能未正确处理或验证注入的Network Error Logging (NEL)头,攻击者可通过在 Kubernetes 代理响应中注入恶意NEL标头, 成功利用该漏洞可能导致会话相关数据泄露,这些数据可能被滥用来进行账户接管(ATO),从而实现未授权访问和控制用户账户。


 


参考链接



  1. https://about.gitlab.com/releases/2024/12/11/patch-release-gitlab-17-6-2-released/


  2. https://nvd.nist.gov/vuln/detail/CVE-2024-11274



 


开源检索


暂未找到


相似站点

宝兰德-BESAppServer 反序列化致远程代码执行漏洞

宝兰德-BESAppServer 反序列化致远程代码执行漏洞

...
H3C SecCenter SMP 安全管理平台远程代码执行漏洞

H3C SecCenter SMP 安全管理平台远程代码执行漏洞

漏洞描述H3C SecCenter SMP(Security Manager Platform,安全业务管理平台)是一个负责网络安全业务的独立平台。SMP 能够对网络中的防火墙、入侵防御安全设备进行统...
汇思-wizBank 远程代码执行漏洞

汇思-wizBank 远程代码执行漏洞

CVE编号: 暂无危害定级: 严重漏洞标签:披露日期: 2024-12-09...
活字格低代码开发平台 /Account/GetUsers 未授权访问漏洞

活字格低代码开发平台 /Account/GetUsers 未授权访问漏洞

活字格低代码开发平台 /Account/GetUsers 未授权访问漏洞 CVE编号: 暂无...
出租车智能监控调度系统任意文件上传漏洞

出租车智能监控调度系统任意文件上传漏洞

CVE编号: 暂无危害定级: 严重漏洞标签:披露日期: 2024-12-11...
Logbase堡垒机远程命令执行漏洞

Logbase堡垒机远程命令执行漏洞

CVE编号: 暂无危害定级: 严重漏洞标签:披露日期: 2024-12-09推送原因: 漏洞创建信息来源: https://stack.chaitin.com/vuldb/detail/bf0ce31...
Ivanti Cloud Services Application身份验证绕过漏洞

Ivanti Cloud Services Application身份验证绕过漏洞

CVE编号: CVE-2024-11639危害定级: 高危漏洞标签:披露日期: 2024-12-11推送原因: 漏洞创建信息来源: https://www.venustech.com.cn/new_t...
Struts2 远程代码执行漏洞

Struts2 远程代码执行漏洞

CVE编号: CVE-2024-53677危害定级: 严重漏洞标签:披露日期: 2024-12-11推送原因: 漏洞创建...

粤ICP备10230771号-1网站地图