【漏洞通告】Gitlab 任意文件读取漏洞(CVE-2023-2825)

0x01 漏洞信息

漏洞名称：Gitlab 任意文件读取漏洞

漏洞编号：CVE-2023-2825

漏洞等级：高

披漏时间：2023年5月26日

0x02 漏洞描述

该漏洞是由路径遍历问题导致，当一个附件存在于至少五个组内嵌套的公共项目中时，未经认证的攻击者可以在服务器上读取任意文件。利用漏洞还可能会暴露包括专有软件代码、用户凭证、令牌、文件和其他私人信息在内的敏感数据。

0x03 漏洞状态

脆弱组件覆盖面	利用门槛	POC工具	EXP工具
广	低	已公开	已公开

0x04 影响版本

  GitLab CE 16.0.0
  GitLab EE 16.0.0

0x05 漏洞排查

用户尽快排查所有应用系统GitLab应用版本是否为16.0.0。若存在应用使用，极大可能会受到影响。

0x06 漏洞加固

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：https://about.gitlab.com/install/

原文始发于微信公众号（安迈信科应急响应中心）：【漏洞通告】Gitlab 任意文件读取漏洞(CVE-2023-2825)