Allocation of Resources Without Limits or Throttling in GitLab 漏洞信息(CVE-2023-4912)

一、漏洞 CVE-2023-4912 基础信息

漏洞标题

不受控制的资源消耗在GitLab

来源：AIGC 神龙大模型

漏洞描述信息

在GitLab EE中发现了一个问题，影响所有版本，从10.5开始，一直持续到16.4.3，从16.5开始，一直持续到16.5.3，从16.6开始，一直持续到16.6.1。攻击者可以使用恶意构造的mermaid图输入来导致客户端拒绝服务。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

来源：AIGC 神龙大模型

漏洞类别

输入验证不恰当

来源：AIGC 神龙大模型

漏洞标题

Allocation of Resources Without Limits or Throttling in GitLab

来源：美国国家漏洞数据库 NVD

漏洞描述信息

An issue has been discovered in GitLab EE affecting all versions starting from 10.5 before 16.4.3, all versions starting from 16.5 before 16.5.3, all versions starting from 16.6 before 16.6.1. It was possible for an attacker to cause a client-side denial of service using malicious crafted mermaid diagram input.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

不加限制或调节的资源分配

来源：美国国家漏洞数据库 NVD

漏洞标题

GitLab 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

GitLab是美国GitLab公司的一个开源的端到端软件开发平台，具有内置的版本控制、问题跟踪、代码审查、CI/CD（持续集成和持续交付）等功能。 GitLab 存在安全漏洞，该漏洞源于攻击者有可能使用恶意制作的美人鱼图输入导致客户端拒绝服务。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2023-4912 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2023-4912 的情报信息

https://gitlab.com/gitlab-org/gitlab/-/issues/424882 issue-tracking
https://hackerone.com/reports/2137421 technical-description exploit
https://nvd.nist.gov/vuln/detail/CVE-2023-4912

一、 漏洞 CVE-2023-4912 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2023-4912 的公开POC

三、漏洞 CVE-2023-4912 的情报信息

一、漏洞 CVE-2023-4912 基础信息