(資料圖)
Bleeping Computer 網(wǎng)站披露�����,GitLab 發(fā)布了 16.0.1 版緊急安全更新����,以解決被追蹤為 CVE-2023-2825 的嚴重性(CVSS v3.1 評分:10.0)路徑遍歷漏洞。
GitLab是一個基于網(wǎng)絡的Git存儲庫���,主要面向需要遠程管理代碼的開發(fā)團隊����,目前共擁有約3000萬注冊用戶和100萬付費客戶���。
一位名叫 pwnie 的安全研究員發(fā)現(xiàn) CVE-2023-2825 漏洞��,隨后在 GitLab 的 HackOne 漏洞獎勵計劃中報告了這個問題�����。據(jù)悉��,該漏洞影響 GitLab社區(qū)版(CE)和企業(yè)版(EE)的 16.0.0 版本�,其它更早的版本幾乎都不受影響。
CVE-2023-2825漏洞詳情
CVE-2023-2825 漏洞源于路徑遍歷問題���,當一個附件存在于至少五個組內嵌套的公共項目中時����,未經(jīng)認證的攻擊者可以在服務器上讀取任意文件�。利用 CVE-2023-2825 漏洞還可能會暴露包括專有軟件代碼、用戶憑證、令牌���、文件和其他私人信息在內的敏感數(shù)據(jù)。
以上的先決條件表明 CVE-2023-2825 漏洞問題與 GitLab 如何管理或解決嵌套在幾級組層次結構中的附件文件的路徑有關。然而由于問題的關鍵性和發(fā)現(xiàn)及時�����,GitLab 沒有披露很多細節(jié),但一再強調用戶使用最新安全更新的重要性��。
GitLab 在安全公告中表示�,強烈建議所有運行受 CVE-2023-2825 漏洞影響版本的裝置中盡快升級到最新版本�����。(當沒有提到產品的具體部署類型(總括、源代碼����、舵手圖等)時���,意味著所有類型都受到影響��。)
值得一提的是��,CVE-2023-2825 漏洞只能在特定條件下才會觸發(fā)�����,即當公共項目中有一個附件嵌套在至少五個組中時,好在這并不是所有 GitHub 項目遵循的結構����。
盡管如此,GitHub 還是建議所有 GitLab 16.0.0 的用戶盡快更新到 16.0.1 版本��,以降低安全風險�。
文章來源:https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/
