强烈建议修复！强烈GitLab 曝“史上最大缺陷”漏洞

作者：小王斯基 2023-05-25 19:23:29安全 GitLab发布16.0.1版紧急安全更新，建议以解决被追踪为CVE-2023-2825的修复陷漏严重性（CVSSv3.1评分：10.0）路径遍历漏洞。

Bleeping Computer 网站披露，曝史GitLab 发布了 16.0.1 版紧急安全更新，上最以解决被追踪为 CVE-2023-2825 的大缺洞严重性（CVSS v3.1 评分：10.0）路径遍历漏洞。

GitLab 是强烈一个基于网络的 Git 存储库，主要面向需要远程管理代码的建议开发团队，目前共拥有约 3000 万注册用户和 100 万付费客户。修复陷漏

一位名叫 pwnie 的曝史安全研究员发现 CVE-2023-2825 漏洞，随后在 GitLab 的上最 HackOne 漏洞奖励计划中报告了这个问题。据悉，大缺洞该漏洞影响 GitLab社区版（CE）和企业版（EE）的强烈 16.0.0 版本，其它更早的建议版本几乎都不受影响。

CVE-2023-2825 漏洞详情

CVE-2023-2825 漏洞源于路径遍历问题，修复陷漏当一个附件存在于至少五个组内嵌套的公共项目中时，未经认证的攻击者可以在服务器上读取任意文件。利用 CVE-2023-2825 漏洞还可能会暴露包括专有软件代码、用户凭证、令牌、文件和其他私人信息在内的敏感数据。

以上的先决条件表明 CVE-2023-2825 漏洞问题与 GitLab 如何管理或解决嵌套在几级组层次结构中的附件文件的路径有关。然而由于问题的关键性和发现及时，GitLab 没有披露很多细节，但一再强调用户使用最新安全更新的重要性。

GitLab 在安全公告中表示，强烈建议所有运行受 CVE-2023-2825 漏洞影响版本的装置中尽快升级到最新版本。（当没有提到产品的具体部署类型（总括、源代码、舵手图等）时，意味着所有类型都受到影响。）

值得一提的是，CVE-2023-2825 漏洞只能在特定条件下才会触发，即当公共项目中有一个附件嵌套在至少五个组中时，好在这并不是所有 GitHub 项目遵循的结构。

尽管如此，GitHub 还是建议所有 GitLab 16.0.0 的用户尽快更新到 16.0.1 版本，以降低安全风险。

文章来源：https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/

责任编辑：赵宁宁 来源： FreeBuf.COM 漏洞GitLab

(责任编辑：百科)