注册    登录
创作新主题
社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
分享
问与答   闲聊   招聘   翻译   创业   分享发现   分享创造   求职   区块链   支付之战  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
一周十大热门主题
一个回车符搞崩Git,甚至能触发远程代码执行?
AI商业洞察 | 比亚迪与香港科技大学成立具身智能联合实验室;上海19所高校开设AI专业;LGND ...
阿里千问悄悄上线 ChatGPT 平替:Qwen Chat 桌面版,MCP 功能真香!
不止AlphaFold,「药界ChatGPT」横空出世!华人女投资人深度揭秘
Nginx 正式拥抱现代 JavaScript!
Java×AI:黑马《AIGC应用与智能体开发》项目上线!
谷歌斥资24亿美元购买Windsurf技术授权,并聘请其CEO;OpenAI CEO:将推迟开放式权...
OpenAI被曝将推出开源AI模型;xAI发布Grok 4;Manus裁员|AIGC周观察第九十八期
「4K超分打工仔」4KAgent横扫26项SOTA | 通吃老照片、AIGC图、卫星图、医疗影像等!
印度工程师一人兼4份全职,还拿下年薪20万美元Offer:请病假的时候,竟在GitHub上给别家写代...
关注
Py学习  »  Git

GitLab 4月任意文件读取漏洞

维他命安全 • 4 年前 • 553 次点击  

0x00 漏洞概述

CVE   ID


时   间

2021-04-01

类   型

任意文件读取

等   级

严重

远程利用

影响范围


PoC/EXP

未公开

在野利用


 

0x01 漏洞详情


GitLab 是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。

2021年03月31日,Gitlab发布安全公告,公开了GitLab社区版(CE)和企业版(EE)中的多个安全漏洞。其中较为严重的是一个任意文件读取漏洞,其CVSSv3评分为9.6,攻击者可以通过导入特定文件来读取服务器上的任意文件;以及一个Kroki任意文件读取漏洞,其CVSSv3评分为7.5,攻击者可以通过特制的Wiki页面来读取服务器上的任意文件。

 

影响范围

Gitlab CE/EE < 13.8.7

Gitlab CE/EE < 13.9.5

Gitlab CE/EE < 13.10.1

 

0x02 处置建议

目前官方已修复了此漏洞,建议升级至以下版本:

Gitlab CE/EE 13.8.7

Gitlab CE/EE 13.9.5

Gitlab CE/EE 13.10.1

下载链接:

https://about.gitlab.com/update/

 

0x03 参考链接

https://about.gitlab.com/releases/2021/03/31/security-release-gitlab-13-10-1-released/

https://about.gitlab.com/update/

 

0x04 时间线

2021-03-31  GitLab发布安全公告

2021-04-01  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/


 

Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/110808
Reply
 
553 次点击  
登录后回复
关于   移动版
Py学习 - 专注于Python技术发展的社区(原Django社区)
沪ICP备11025650号