【漏洞预警】GitLab 目录遍历/任意文件读取漏洞(CVE-2023-2825)

漏洞描述:GitLab 存在目录遍历漏洞，当嵌套在至少五个组中的公共项目中存在附件时，未经身份验证的恶意用户可以使用路径遍历漏洞读取服务器上的任意文件

GitLab CE/EE任意文件读取漏洞(CVE-2023-2825)，目前技术细节及PoC未公开。当GitLab CE/EE 为16.0.0版本时，未经身份验证的攻击者可以利用此漏洞读取GitLab CE/EE 服务器任意文件。

利用条件:无

漏洞利用可能性:待研判
影响版本:
GitLab CE 16.0.0
GitLab EE 16.0.0

官方修复方案:
官方已发布修复方案，受影响的用户建议升级到GitLab 16.0.1
https://about.gitlab.com/update/

原文始发于微信公众号（飓风网络安全）：【漏洞预警】GitLab 目录遍历/任意文件读取漏洞(CVE-2023-2825)