一、背景介绍
近日,市委网信办技术支撑单位监测发现GitLab官方公布了 GitLab 社区版(CE)和企业版(EE)中存在的目录穿越漏洞(CVE-2023-2825)。
1.1 漏洞描述
未经身份验证的恶意用户可以利用目录穿越漏洞,在至少包含五个组的公共项目中存在附件时,读取服务器上的任意文件。
1.2 漏洞编号
CVE-2023-2825
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
GitLab CE/EE 16.0.0
2.2 修复建议
官方已经发布了解决此漏洞的软件更新,建议受影响用户尽快升级到安全版本。
https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/