漏洞风险提示（20230814）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 chromium 安全漏洞 (CVE-2023-4078)
一、漏洞描述：

    115.0.5790.170 之前的 Google Chrome 扩展程序中的适当实现允许诱使用户安装恶意扩展程序的攻击者通过精心制作的 Chrome 扩展程序将脚本或 HTML 注入特权页面。
二、风险等级：
    高危
三、影响范围：
    Google Chrome < 115.0.5790.170
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://msrc.microsoft.com/updat ... ility/CVE-2023-4078

---

2 Linux内核权限提升漏洞(CVE-2023-0179)
一、漏洞描述：

    在 Linux 内核中发现了一个全新的权限提升漏洞，该漏洞可能允许本地攻击者以提升的权限在受影响的系统上执行代码。
二、风险等级：
    高危
三、影响范围：
    v5.5-rc1 <= Linux Kernel <= v6.2-rc4
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://www.opencve.io/cve/CVE-2023-0179

---

3 gitlab路径遍历漏洞(CVE-2023-3385)
一、漏洞描述：

    GitLab 的所有版本从 8.10 到 16.0.8、从 16.1 到 16.1.3、从 16.2 到 16.2.2 存在漏洞。在特定的情况下，使用“从 导出文件中导入”功能导入项目时，用户可以通过上传特殊构造的文件访问和读取不相关的文件。
二、风险等级：
    高危
三、影响范围：
    8.10 <= gitlab <= 16.0.8
16.1 <= gitlab <= 16.1.3
16.2 <= gitlab <= 16.2.2
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://avd.aliyun.com/detail?id=AVD-2023-3385

---

4 gitlab CVE-2023-4002漏洞
一、漏洞描述：

    GitLab EE自版本14.1至16.0.8，自版本16.1至16.1.3，自版本16.2至16.2.2存在漏洞。EE-授权用户可通过ID连接任何安全策略项目，将其链接至用户有访问权限的项目或组，从而潜在地泄露了已配置的安全策略。
二、风险等级：
    高危
三、影响范围：
    14.1 <= gitlab <= 16.0.8
16.1 <= gitlab <= 16.1.3
16.2 <= gitlab <= 16.2.2
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://avd.aliyun.com/detail?id=AVD-2023-4002

---