亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

GitLab目錄遍歷漏洞 (CVE-2023-2825) 安全風(fēng)險(xiǎn)通告

責(zé)編:gltian |2023-05-24 10:47:23

Gitlab是目前被廣泛使用的基于git的開(kāi)源代碼管理平臺(tái), 基于Ruby on Rails構(gòu)建, 主要針對(duì)軟件開(kāi)發(fā)過(guò)程中產(chǎn)生的代碼和文檔進(jìn)行管理,同時(shí)可以搭建Web服務(wù)。

近日,奇安信CERT監(jiān)測(cè)到GitLab 目錄遍歷漏洞(CVE-2023-2825),當(dāng)嵌套在至少五個(gè)組中的公共項(xiàng)目中存在附件時(shí),未經(jīng)身份驗(yàn)證的惡意用戶可以利用該漏洞讀取服務(wù)器上的任意文件。鑒于該漏洞影響較大,建議客戶盡快做好自查及防護(hù)。

漏洞名稱 GitLab 目錄遍歷漏洞
公開(kāi)時(shí)間 2023-05-24 更新時(shí)間 2023-05-24
CVE編號(hào) CVE-2023-2825 其他編號(hào) QVD-2023-12199
威脅類型 信息泄露 技術(shù)類型 路徑名的限制不恰當(dāng)
廠商 GitLab 產(chǎn)品 GitLab CE/EE
風(fēng)險(xiǎn)等級(jí)
奇安信CERT風(fēng)險(xiǎn)評(píng)級(jí) 風(fēng)險(xiǎn)等級(jí)
高危 藍(lán)色(一般事件)
現(xiàn)時(shí)威脅狀態(tài)
POC狀態(tài) EXP狀態(tài) 在野利用狀態(tài) 技術(shù)細(xì)節(jié)狀態(tài)
未發(fā)現(xiàn) 未發(fā)現(xiàn) 未發(fā)現(xiàn) 未公開(kāi)
漏洞描述 GitLab 存在目錄遍歷漏洞,當(dāng)嵌套在至少五個(gè)組中的公共項(xiàng)目中存在附件時(shí),未經(jīng)身份驗(yàn)證的惡意用戶可以利用該漏洞讀取服務(wù)器上的任意文件。
影響版本 GitLab CE 16.0.0

GitLab EE 16.0.0
其他受影響組件 無(wú)

威脅評(píng)估

漏洞名稱 GitLab 目錄遍歷漏洞
CVE編號(hào) CVE-2023-2825 其他編號(hào) QVD-2023-12199
CVSS 3.1評(píng)級(jí) 高危 CVSS 3.1分?jǐn)?shù) 10.0
CVSS向量 訪問(wèn)途徑(AV 攻擊復(fù)雜度(AC
網(wǎng)絡(luò)
用戶認(rèn)證(Au 用戶交互(UI
無(wú) 不需要
影響范圍(S 機(jī)密性影響(C
改變
完整性影響(I 可用性影響(A
無(wú)
危害描述 未經(jīng)身份驗(yàn)證的惡意用戶可以利用該漏洞讀取服務(wù)器上的任意文件。

處置建議

目前官方已發(fā)布安全修復(fù)更新,受影響用戶可以升級(jí)到 GitLab CE/EE 16.0.1。

參考資料

[1]https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/

來(lái)源:奇安信 CERT

上一篇:法國(guó)CNIL發(fā)布人工智能行動(dòng)計(jì)劃

下一篇:現(xiàn)代軟件開(kāi)發(fā)的基石CI/CD:敏捷與風(fēng)險(xiǎn)并存