1. 通告信息
近日,安识科技A-Team团队监测到一则 GitLab 社区版 (CE)和企业版(EE)中的一个路径遍历漏洞的信息,漏洞编号:CVE-2023-2825,漏洞威胁等级:高危。
该漏洞存在于GitLab CE/EE版本16.0.0中,当嵌套在至少五个组中的公共项目中存在附件时,可在未经身份验证的情况下通过uploads功能遍历读取任意文件,导致敏感信息泄露。
对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。
2. 漏洞概述
CVE:CVE-2023-2825
简述:GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。该漏洞存在于GitLab CE/EE版本16.0.0中,当嵌套在至少五个组中的公共项目中存在附件时,可在未经身份验证的情况下通过uploads功能遍历读取任意文件,导致敏感信息泄露。
3. 漏洞危害
攻击者可在未经身份验证的情况下通过uploads功能遍历读取任意文件,导致敏感信息泄露。
4. 影响版本
GitLab CE/EE版本:16.0.0
5. 解决方案
目前该漏洞已经修复,受影响用户可升级到以下版本:
GitLab CE/EE版本:>= 16.0.1
下载链接:https://about.gitlab.com/update/
6. 时间轴
【-】2023年05月24日 安识科技A-Team团队监测到GitLab路径遍历漏洞信息
【-】2023年05月24日 安识科技A-Team团队根据漏洞信息分析
【-】2023年05月25日 安识科技A-Team团队发布安全通告