Bleeping Computer 网站披露,曝史GitLab 发布了 16.0.1 版紧急安全更新,上最以解决被追踪为 CVE-2023-2825 的大缺洞严重性(CVSS v3.1 评分:10.0)路径遍历漏洞。
GitLab 是强烈一个基于网络的 Git 存储库,主要面向需要远程管理代码的建议开发团队,目前共拥有约 3000 万注册用户和 100 万付费客户。修复陷漏
一位名叫 pwnie 的曝史安全研究员发现 CVE-2023-2825 漏洞,随后在 GitLab 的上最 HackOne 漏洞奖励计划中报告了这个问题。据悉,大缺洞该漏洞影响 GitLab社区版(CE)和企业版(EE)的强烈 16.0.0 版本,其它更早的建议版本几乎都不受影响。
CVE-2023-2825 漏洞源于路径遍历问题,修复陷漏当一个附件存在于至少五个组内嵌套的公共项目中时,未经认证的攻击者可以在服务器上读取任意文件。利用 CVE-2023-2825 漏洞还可能会暴露包括专有软件代码、用户凭证、令牌、文件和其他私人信息在内的敏感数据。
以上的先决条件表明 CVE-2023-2825 漏洞问题与 GitLab 如何管理或解决嵌套在几级组层次结构中的附件文件的路径有关。然而由于问题的关键性和发现及时,GitLab 没有披露很多细节,但一再强调用户使用最新安全更新的重要性。
GitLab 在安全公告中表示,强烈建议所有运行受 CVE-2023-2825 漏洞影响版本的装置中尽快升级到最新版本。(当没有提到产品的具体部署类型(总括、源代码、舵手图等)时,意味着所有类型都受到影响。)
值得一提的是,CVE-2023-2825 漏洞只能在特定条件下才会触发,即当公共项目中有一个附件嵌套在至少五个组中时,好在这并不是所有 GitHub 项目遵循的结构。
尽管如此,GitHub 还是建议所有 GitLab 16.0.0 的用户尽快更新到 16.0.1 版本,以降低安全风险。
文章来源:https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/
责任编辑:赵宁宁 来源: FreeBuf.COM 漏洞GitLab(责任编辑:百科)
冠豪高新(600433.SH):重组事项获有条件通过 公司A股股票自3月12日起复牌
AMG GT E Performance概念车亮相 这外观也太帅了 -
嘉里物流(00636.HK)因购股权获行使发行8万股 每股发行价10.2港元