强烈建议修复!GitLab 曝“史上最大缺陷”漏洞

安全
GitLab发布16.0.1版紧急安全更新,以解决被追踪为CVE-2023-2825的严重性(CVSSv3.1评分:10.0)路径遍历漏洞。

Bleeping Computer 网站披露,GitLab 发布了 16.0.1 版紧急安全更新,以解决被追踪为 CVE-2023-2825 的严重性(CVSS v3.1 评分:10.0)路径遍历漏洞。

GitLab 是一个基于网络的 Git 存储库,主要面向需要远程管理代码的开发团队,目前共拥有约 3000 万注册用户和 100 万付费客户。

一位名叫 pwnie 的安全研究员发现 CVE-2023-2825 漏洞,随后在 GitLab 的 HackOne 漏洞奖励计划中报告了这个问题。据悉,该漏洞影响 GitLab社区版(CE)和企业版(EE)的 16.0.0 版本,其它更早的版本几乎都不受影响。

CVE-2023-2825 漏洞详情

CVE-2023-2825 漏洞源于路径遍历问题,当一个附件存在于至少五个组内嵌套的公共项目中时,未经认证的攻击者可以在服务器上读取任意文件。利用 CVE-2023-2825 漏洞还可能会暴露包括专有软件代码、用户凭证、令牌、文件和其他私人信息在内的敏感数据。

以上的先决条件表明 CVE-2023-2825 漏洞问题与 GitLab 如何管理或解决嵌套在几级组层次结构中的附件文件的路径有关。然而由于问题的关键性和发现及时,GitLab 没有披露很多细节,但一再强调用户使用最新安全更新的重要性。

GitLab 在安全公告中表示,强烈建议所有运行受 CVE-2023-2825 漏洞影响版本的装置中尽快升级到最新版本。(当没有提到产品的具体部署类型(总括、源代码、舵手图等)时,意味着所有类型都受到影响。)

1684983572_646ecf149fb7c08c46537.png!small?1684983573689

值得一提的是,CVE-2023-2825 漏洞只能在特定条件下才会触发,即当公共项目中有一个附件嵌套在至少五个组中时,好在这并不是所有 GitHub 项目遵循的结构。

尽管如此,GitHub 还是建议所有 GitLab 16.0.0 的用户尽快更新到 16.0.1 版本,以降低安全风险。

文章来源:https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2024-07-11 16:25:44

2021-03-02 07:13:54

Java8版本升级

2021-01-13 07:01:51

Adobe Flash Flash Playe

2011-08-25 09:17:24

库克乔布斯苹果

2021-09-27 10:52:06

React工具库开发

2023-12-08 13:18:27

2021-01-05 05:36:08

Windows10操作系统Flash

2018-12-04 15:50:03

转行Python爬虫

2020-07-02 07:15:28

Windows 10漏洞补丁

2024-07-01 12:22:02

2010-03-02 09:48:40

2021-11-05 07:47:55

API计算任务

2021-08-27 06:55:37

数据数据分析大数据

2009-04-27 23:45:07

2010-04-06 09:44:12

Firefox漏洞修复

2015-07-08 10:53:34

2014-05-04 12:58:10

安全漏洞修复补丁

2021-04-16 23:23:05

工具macOS系统

2015-01-29 09:54:12

2016-08-30 14:30:49

点赞
收藏

51CTO技术栈公众号