(资料图片)
Bleeping Computer 网站披露,GitLab 发布了 16.0.1 版紧急安全更新,以解决被追踪为 CVE-2023-2825 的严重性(CVSS v3.1 评分:10.0)路径遍历漏洞。
GitLab是一个基于网络的Git存储库,主要面向需要远程管理代码的开发团队,目前共拥有约3000万注册用户和100万付费客户。
一位名叫 pwnie 的安全研究员发现 CVE-2023-2825 漏洞,随后在 GitLab 的 HackOne 漏洞奖励计划中报告了这个问题。据悉,该漏洞影响 GitLab社区版(CE)和企业版(EE)的 16.0.0 版本,其它更早的版本几乎都不受影响。
CVE-2023-2825漏洞详情CVE-2023-2825 漏洞源于路径遍历问题,当一个附件存在于至少五个组内嵌套的公共项目中时,未经认证的攻击者可以在服务器上读取任意文件。利用 CVE-2023-2825 漏洞还可能会暴露包括专有软件代码、用户凭证、令牌、文件和其他私人信息在内的敏感数据。
以上的先决条件表明 CVE-2023-2825 漏洞问题与 GitLab 如何管理或解决嵌套在几级组层次结构中的附件文件的路径有关。然而由于问题的关键性和发现及时,GitLab 没有披露很多细节,但一再强调用户使用最新安全更新的重要性。
GitLab 在安全公告中表示,强烈建议所有运行受 CVE-2023-2825 漏洞影响版本的装置中尽快升级到最新版本。(当没有提到产品的具体部署类型(总括、源代码、舵手图等)时,意味着所有类型都受到影响。)
值得一提的是,CVE-2023-2825 漏洞只能在特定条件下才会触发,即当公共项目中有一个附件嵌套在至少五个组中时,好在这并不是所有 GitHub 项目遵循的结构。
尽管如此,GitHub 还是建议所有 GitLab 16.0.0 的用户尽快更新到 16.0.1 版本,以降低安全风险。
文章来源:https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/
[责任编辑:linlin]
标签:
焦点热讯:强烈建议修复!GitLab 曝“史上最大缺陷”漏洞
美司令称拜登下令,若无法避免中美冲突美军必须打赢,盼双方对话
株洲铁道职业技术学院录取分数线_株洲铁道职业技术学院
第三位!贾明亮烈士的亲人找到了|天天热讯
世界观点:最后的金色时光_对于最后的金色时光简单介绍
德班世乒赛:国乒外战56胜1负!3人遗憾输球,提前夺得7枚奖牌
全球微动态丨有机双光子吸收和双光子荧光材料的超快光动力学研究
世界微速讯:五大洲七大洋地图 五大洲七大洋
精彩看点:老而弥坚不坠青云之志_老而弥坚
全过程碳排放总量占比过半,“高碳锁定”的建筑业亟待破局
专属商业养老保险拟转为常态化运营,符合这些条件的人身险公司有
E电园的科普日常 | 两驱价格买四驱 长城智能四驱电混技术Hi4