GitLab 任意文件读取漏洞
(CVE-2023-2825)
GitLab是一款开源的代码管理平台,基于Ruby On Rails构建。该平台提供源代码管理、代码审核、问题跟踪、持续集成等功能。它能帮助开发者更高效地管理和协作开发项目,追踪代码变更并管理代码库的版本,同时也能提供Web服务。
近日,长亭科技监测到GitLab发布了补丁更新,修复了一处任意文件读取漏洞。漏洞编号为CVE-2023-2825,CVSS评分10.0。
漏洞描述
在GitLab CE/EE中发现了一个问题,仅影响16.0.0版本。未经认证的恶意用户可以利用路径遍历在服务器上读取任意文件,条件是在至少五个群组内嵌套的公共项目中存在附件。
影响范围
GitLab==16.0.0
解决方案
目前官方已发布更新,受漏洞影响的16.0.0版本用户可根据实际业务场景,确认在不影响业务的情况下将GitLab升级至16.0.1。
https://about.gitlab.com/update/
产品支持
牧云:默认支持此软件的资产采集,对应的漏洞匹配升级包已经在升级平台上发布,版本号:23.05.024。
云图:默认支持该产品的指纹识别。
洞鉴:默认支持该产品的指纹识别。
参考资料
-
https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/
原文始发于微信公众号(长亭技术沙盒):漏洞风险提示|GitLab 任意文件读取漏洞(CVE-2023-2825)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论