查看原文
其他

GitLab强烈建议尽快修复 CVSS 满分漏洞

Bill Toulas 代码卫士 2023-06-26

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

GitLab 发布紧急安全更新 16.0.1版本,修复CVSS评分为10分的路径遍历漏洞CVE-2023-2825。


GitlAB 是基于 web 的 Git 仓库,为需要远程管理代码的开发团队服务,目前已拥有约3000万名已注册用户以及100万名付费客户。该漏洞由研究员  pwnie 发现并提交给 HackerOne 平台。

CVE-2023-2825虽然影响 GitLab 社区版 (CE) 和企业版 (EE) 16.0.0,但低于该版本的所有版本均不受影响。该漏洞是由路径遍历问题引发的。当附件存在于至少五个组的公开项目时,可导致未认证攻击者读取服务器上的任意文件。

利用该漏洞可暴露敏感数据,包括专有软件代码、用户凭据、令牌、文件和其它私密信息。这些前提说明该漏洞与 GitLab 如何管理或解决所附文件路径有关。然而,鉴于该漏洞的严重性以及披露的时效性,GitLab 并未透露更多详情。

GitLab 强调了立即应用最新安全更新的重要性。GitLab 在安全公告中提到,“我们强烈建议所有运行受如下这些漏洞影响版本的程序,尽快升级至最新版本。如未提到特定的部署版本,则意味着所有类型均受影响。”

一个缓解因素是,该漏洞仅可在特定条件下被触发,即当嵌入至少五个组的某个公开项目中存在附件时就会被触发,并非所有的 GitHub 项目都遵循这种结构。尽管如此,建议所有的 GitLab 16.0.0用户尽快升级至16.0.1。遗憾的是,目前并不存在缓解措施。

要更新 GitLab 版本,可遵循该项目的更新页面指南。对于 GitLab Runner 更新,可按照相关更新操作。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

GitLab修复GitHub import函数中的RCE漏洞

GitLab 远程代码执行漏洞安全风险通告

GitLab 修复两个严重的远程代码执行漏洞

GitLab 修复严重的RCE漏洞

GitLab 企业版修复严重的账户接管漏洞



原文链接

https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存