【复现】Gitlab 目录遍历漏洞漏洞(CVE-2023-2825)的风险通告
2023-5-25 15:12:34 Author: 赛博昆仑CERT(查看原文) 阅读量:133 收藏

-赛博昆仑漏洞安全通告-

Gitlab 目录遍历漏洞漏洞(CVE-2023-2825)的风险通告

漏洞描述

gitlab是目前被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理,同时可以搭建Web服务。
近日,赛博昆仑CERT监测到gitlab发布安全更新公告, 公告指出 GitLab CE/EE 16.0.0 版本存在目录遍历漏洞。在某些条件下,未认证的用户都可以读取gitlab服务器上的任意文件,进而可能导致敏感信息泄露等

漏洞名称

Gitlab 16.0.0目录遍历漏洞

漏洞公开编号

CVE-2023-2825

昆仑漏洞库编号

CYKL-2023-007178

漏洞类型

目录遍历

公开时间

未知

漏洞等级

严重

评分

10.0

漏洞所需权限

无权限要求

漏洞利用难度

PoC状态

未公开

EXP状态

未知

漏洞细节

未公开

在野利用

未知

影响版本
GitLab CE/EE 16.0.0
利用条件

使用该应用的默认配置,并且有附件的公共项目嵌套在至少五个组中

漏洞复现
目前赛博昆仑CERT已确认漏洞原理,复现截图如下:

防护措施

  • 检测措施

获取 GitLabCE/EE 版本,判断其版本是否为16.0.0
  • 修复措施

目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。

下载地址:https://about.gitlab.com/update/

技术咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。

赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。

联系邮箱:[email protected]
公众号:赛博昆仑CERT
参考链接
https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/
https://gitlab.com/gitlab-org/gitlab/-/commit/2ddbf5464954addce7b8c82102377f0f137b604f
时间线
2023年5月23日,gitlab官网发布安全更新公告
2023年5月25日,赛博昆仑CERT公众号发布漏洞风险通告


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247484176&idx=1&sn=fdf752fd2bbf76a2b319e0ab6892909b&chksm=c12afe91f65d77874a4c37b142addb76f4904c31ebae300433c59dfc9f95b34e7fc05fb16b5e#rd
如有侵权请联系:admin#unsafe.sh