社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
Py学习  »  Git

GitLab 目录遍历漏洞(CVE-2023-2825)安全风险通告

奇安信CERT • 2 年前 • 403 次点击  

奇安信CERT

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。




安全通告



Gitlab是目前被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理,同时可以搭建Web服务。

近日,奇安信CERT监测到 GitLab 目录遍历漏洞(CVE-2023-2825),当嵌套在至少五个组中的公共项目中存在附件时,未经身份验证的恶意用户可以利用该漏洞读取服务器上的任意文件。鉴于该漏洞影响较大,建议客户尽快做好自查及防护。


漏洞名称

GitLab 目录遍历漏洞

公开时间

2023-05-24

更新时间

2023-05-24

CVE编号

CVE-2023-2825

其他编号

QVD-2023-12199

威胁类型

信息泄露

技术类型

路径名的限制不恰当

厂商

GitLab

产品

GitLab CE/EE

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

未发现

未公开

漏洞描述

GitLab 存在目录遍历漏洞,当嵌套在至少五个组中的公共项目中存在附件时,未经身份验证的恶意用户可以利用该漏洞读取服务器上的任意文件。

影响版本

GitLab CE 16.0.0

GitLab EE 16.0.0

其他受影响组件



威胁评估

漏洞名称

GitLab 目录遍历漏洞

CVE编号

CVE-2023-2825

其他编号

QVD-2023-12199

CVSS 3.1评级

高危

CVSS 3.1分数

10.0

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

用户认证(Au

用户交互(UI

不需要

影响范围(S

机密性影响(C

改变

完整性影响(I

可用性影响(A

危害描述

未经身份验证的恶意用户可以利用该漏洞读取服务器上的任意文件。



处置建议

目前官方已发布安全修复更新,受影响用户可以升级到 GitLab CE/EE 16.0.1。



参考资料

[1]https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/


时间线

2023年5月24日,奇安信 CERT发布安全风险通告。


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/155423
 
403 次点击