• Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
AnonyViet
  • Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
No Result
View All Result
  • Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
No Result
View All Result
AnonyViet
No Result
View All Result

Cảnh báo! Tin tặc khai thác lỗ hổng RCE chưa được xác thực trên GitLab

Elyx13 by Elyx13
03/11/2021
in Tin tức
Reading Time: 3 mins read
A A
0

Các nhà nghiên cứu an ninh mạng cảnh báo, một lỗ hổng thực thi mã từ xa quan trọng (RCE) hiện đã được vá trong giao diện web của GitLab đã được phát hiện là đang bị khai thác, các nhà nghiên cứu an ninh mạng cảnh báo, khiến một số lượng lớn các phiên bản GitLab trên internet dễ bị tấn công.

Tin tặc khai thác lỗ hổng RCE chưa được xác thực trên GitLab

Các bài viết liên quan

nuclei quét lỗ hổng bảo mật

Cách cài đặt Nuclei để quét lỗ hổng bảo mật Website

11/05/2022
kinh nghiem khi kiem tra bao mat website

Kinh nghiệm khi Kiểm tra bảo mật Website

09/05/2022
bypass waf bang header

Đổi Header để Bypass WAF khi quét lỗ hổng Website bằng các Tool Scan

06/05/2022
Cách kiểm tra Server có bị tấn công bởi Log4j (Log4Shell) hay không 8

Cách kiểm tra Server có bị tấn công bởi Log4j (Log4Shell) hay không

21/12/2021

Tin tặc khai thác lỗ hổng RCE chưa được xác thực trên GitLab

Lỗ hổng này là CVE-2021-22205, vấn đề liên quan đến việc xác thực không đúng hình ảnh do người dùng cung cấp dẫn đến việc thực thi mã tùy ý. Lỗ hổng bảo mật, ảnh hưởng đến tất cả các phiên bản bắt đầu từ 11.9, kể từ đó đã được GitLab giải quyết vào ngày 14 tháng 4 năm 2021 trong các phiên bản 13.8.8, 13.9.6 và 13.10.3.

Một trong những cuộc tấn công thực tế được HN Security báo cáo chi tiết vào tháng trước, hai tài khoản người dùng có đặc quyền quản trị đã được đăng ký trên một máy chủ GitLab có thể truy cập công khai thuộc về một khách hàng giấu tên bằng cách khai thác lỗ hổng nói trên để tải lên một payload độc hại dẫn đến việc thực thi lệnh từ xa, bao gồm cả việc nhận được các quyền nâng cao.

Cảnh báo! Tin tặc khai thác lỗ hổng RCE chưa được xác thực trên GitLab 7

Mặc dù lỗ hổng ban đầu được coi là một trường hợp của RCE đã xác thực và được chỉ định điểm CVSS là 9,9, xếp hạng mức độ nghiêm trọng đã được sửa đổi thành 10,0 vào ngày 21 tháng 9 năm 2021 do thực tế là nó cũng có thể được kích hoạt bởi các tác nhân đe dọa chưa được xác thực.

Công ty an ninh mạng Rapid7 cho biết trong một cảnh báo được công bố hôm thứ Hai rằng: “Bất chấp sự thay đổi nhỏ trong điểm CVSS, một sự thay đổi từ xác thực thành không xác thực có ý nghĩa lớn đối với những người an ninh mạng”.

Mặc dù các bản vá đã được cung cấp công khai trong hơn sáu tháng, trong số 60.000 bản cài đặt GitLab trên internet, chỉ có 21% trường hợp được cho là đã được vá đầy đủ để chống lại lỗ hổng, với 50% khác vẫn dễ bị tấn công RCE.

Do tính chất chưa được xác thực của lỗ hổng này, hoạt động khai thác dự kiến ​​sẽ gia tăng, khiến người dùng GitLab phải cập nhật lên phiên bản mới nhất càng sớm càng tốt. Các nhà nghiên cứu cho biết: “Ngoài ra, về mặt lý tưởng, GitLab không nên là một dịch vụ kết nối với internet. “Nếu bạn cần truy cập GitLab của mình từ Internet, hãy cân nhắc đặt nó sau VPN.”

Bạn có thể xem phân tích kỹ thuật bổ sung liên quan đến lỗ hổng bảo mật này tại đây.

Ngoài ra, Winrar cũng bị dính 1 lỗ hổng RCE rất nghiêm trọng, bạn có thể đọc thêm tại đây.

Tags: Gitlablỗ hổng bảo mậtRCE
Previous Post

GitHub Copilot: Công cụ tự động viết code bằng trí tuệ nhân tạo

Next Post

Cách tạo Video đi bộ trên bản đồ bằng TravelBoast

Elyx13

Elyx13

Có người không dám bước vì sợ gãy chân, nhưng sợ gãy chân mà không dám bước đi thì khác nào chân đã gãy.

Related Posts

godeal24
Tin tức

Giá bản quyền Windows 10 chỉ 5.71$, miễn phí nâng cấp lên Windows 11

23/05/2022
tao tai khoan vcb bang sdt
Tin tức

Cách Tạo tài khoản Vietcombank theo Số điện thoại miễn phí

18/05/2022
domain.app
Tin tức

Đăng ký Domain .App và .Dev miễn phí tại Porkbun

17/05/2022 - Updated on 18/05/2022
mien phi domain xyz design 0dong
Tin tức

Hướng dẫn đăng ký Domain .XYZ và .DESIGN miễn phí giá 0$

06/05/2022
Danh sách 15 công ty bị Hack lớn nhất lịch sử 9
Tin tức

Danh sách 15 công ty bị Hack lớn nhất lịch sử

05/05/2022
alexa ngung hoat dong
Tin tức

Alexa chính thức ngừng hoạt động từ hôm nay

02/05/2022
Next Post
tao video hanh tri du lich TravelBoast

Cách tạo Video đi bộ trên bản đồ bằng TravelBoast

guest
guest

Website này sử dụng Akismet để hạn chế spam. Tìm hiểu bình luận của bạn được duyệt như thế nào.

0 Comments
Inline Feedbacks
View all comments

Liên hệ Quảng Cáo

Lien he AnonyViet

Đối tác —

Fshare

Các bài mới

5 Extension Chrome "mờ ám" bạn cần phải xóa ngay 10

5 Extension Chrome “mờ ám” bạn cần phải xóa ngay

25/05/2022
5 Website giúp bạn tìm chủ tài khoản Email là ai 11

5 Website giúp bạn tìm chủ tài khoản Email là ai

24/05/2022
godeal24

Giá bản quyền Windows 10 chỉ 5.71$, miễn phí nâng cấp lên Windows 11

23/05/2022
Cách thiết lập Shadowsocks với Outline để tạo Proxy cho riêng bạn 12

Cách thiết lập Shadowsocks với Outline để tạo Proxy cho riêng bạn

23/05/2022
coupon dmca

Cách bảo vệ bản quyền Website với DMCA – Coupon nâng cấp Pro giảm 50%

23/05/2022

Ads

Giới thiệu

AnonyViet

AnonyViet

Nơi chia sẻ những kiến thức mà bạn chưa từng được học trên ghế nhà trường!

Chúng tôi sẵn sàng đón những ý kiến đóng góp, cũng như bài viết của các bạn gửi đến AnonyViet.

Hãy cùng AnonyViet xây dựng một cộng đồng CNTT lớn mạnh nhất!

Giới thiệu

AnonyViet là Website chia sẻ miễn phí tất cả các kiến thức về công nghệ thông tin. AnonyViet cung cấp mọi giải pháp về mạng máy tính, phần mềm, đồ họa và MMO.

Liên hệ

Email: anonyviet.com[@]gmail.com

1409 Hill Street #01-01A
Old Hill Street Police Station
Singapore 179369

 

Bản quyền: DMCA.com Protection Status

Bài viết mới

  • 5 Extension Chrome “mờ ám” bạn cần phải xóa ngay
  • 5 Website giúp bạn tìm chủ tài khoản Email là ai
  • Giá bản quyền Windows 10 chỉ 5.71$, miễn phí nâng cấp lên Windows 11
  • Cách thiết lập Shadowsocks với Outline để tạo Proxy cho riêng bạn
  • Cách bảo vệ bản quyền Website với DMCA – Coupon nâng cấp Pro giảm 50%
  • Đánh giá gói Turbo Business Hosting của AZDIGI

©2022 AnonyViet - Chúng tôi mang đến cho bạn những kiến thức bổ ích về Công nghệ. Google iwin888 Bing tải game iwin Github tải iwin apk Github tải win456 Youtube ku fun wikipedia 88vin reddit twin 567LIVE MMLive SP666 92lottery sun86 stackoverflow

No Result
View All Result
  • Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC

©2022 AnonyViet - Chúng tôi mang đến cho bạn những kiến thức bổ ích về Công nghệ. Google iwin888 Bing tải game iwin Github tải iwin apk Github tải win456 Youtube ku fun wikipedia 88vin reddit twin 567LIVE MMLive SP666 92lottery sun86 stackoverflow

wpDiscuz
pixel