【漏洞通告】GitLab Kubernetes Proxy Response NEL头注入漏洞（CVE-2024-11274）

文章预览

一、漏洞 概述 漏洞名称  GitLab Kubernetes Proxy Response NEL头注入漏洞 CVE   ID CVE-2024-11274 漏洞类型 注入、信息泄露 发现时间 2024-12-12 漏洞评分 8.7 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 GitLab是一个用于仓库管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。 2024年12月12日，启明星辰集团VSRC监测到GitLab社区版（CE）和企业版（EE）中存在Kubernetes Proxy Response NEL头注入漏洞（CVE-2024-11274），该漏洞的CVSS评分为8.7。 由于GitLab CE/EE中的Kubernetes代理功能未正确处理或验证注入的Network Error Logging (NEL)头，攻击者可通过在 Kubernetes 代理响应中注入恶意NEL标头， 成功利用该漏洞可能导致会话相关数据泄露，这些数据可能被滥用来进行账户接管（ATO），从而实现未授权访问 ………………………………