GitLab强烈建议尽快修复 CVSS 满分漏洞

admin 2023年5月26日06:40:37评论41 views字数 1167阅读3分53秒阅读模式

GitLab强烈建议尽快修复 CVSS 满分漏洞 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

GitLab 发布紧急安全更新 16.0.1版本,修复CVSS评分为10分的路径遍历漏洞CVE-2023-2825。



GitlAB 是基于 web 的 Git 仓库,为需要远程管理代码的开发团队服务,目前已拥有约3000万名已注册用户以及100万名付费客户。该漏洞由研究员  pwnie 发现并提交给 HackerOne 平台。

CVE-2023-2825虽然影响 GitLab 社区版 (CE) 和企业版 (EE) 16.0.0,但低于该版本的所有版本均不受影响。该漏洞是由路径遍历问题引发的。当附件存在于至少五个组的公开项目时,可导致未认证攻击者读取服务器上的任意文件。

利用该漏洞可暴露敏感数据,包括专有软件代码、用户凭据、令牌、文件和其它私密信息。这些前提说明该漏洞与 GitLab 如何管理或解决所附文件路径有关。然而,鉴于该漏洞的严重性以及披露的时效性,GitLab 并未透露更多详情。

GitLab 强调了立即应用最新安全更新的重要性。GitLab 在安全公告中提到,“我们强烈建议所有运行受如下这些漏洞影响版本的程序,尽快升级至最新版本。如未提到特定的部署版本,则意味着所有类型均受影响。”

一个缓解因素是,该漏洞仅可在特定条件下被触发,即当嵌入至少五个组的某个公开项目中存在附件时就会被触发,并非所有的 GitHub 项目都遵循这种结构。尽管如此,建议所有的 GitLab 16.0.0用户尽快升级至16.0.1。遗憾的是,目前并不存在缓解措施。

要更新 GitLab 版本,可遵循该项目的更新页面指南。对于 GitLab Runner 更新,可按照相关更新操作。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

GitLab修复GitHub import函数中的RCE漏洞

GitLab 远程代码执行漏洞安全风险通告

GitLab 修复两个严重的远程代码执行漏洞

GitLab 修复严重的RCE漏洞

GitLab 企业版修复严重的账户接管漏洞



原文链接

https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




GitLab强烈建议尽快修复 CVSS 满分漏洞
GitLab强烈建议尽快修复 CVSS 满分漏洞

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   GitLab强烈建议尽快修复 CVSS 满分漏洞 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):GitLab强烈建议尽快修复 CVSS 满分漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月26日06:40:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   GitLab强烈建议尽快修复 CVSS 满分漏洞https://cn-sec.com/archives/1761119.html

发表评论

匿名网友 填写信息