GitLab CE/EE路徑遍歷漏洞
- CNNVD編號:CNVD-2023-41401
- 危害等級: 高危
- CVE編號:CVE-2023-2825
- 漏洞類型: 通用型漏洞
- 威脅類型:未知
- 廠 商:未知
- 漏洞來源:國家信息安全漏洞共享平臺
- 發(fā)布時間:2023-05-29
- 更新時間:2023-05-29
漏洞簡介
GitLab是一個利用Ruby on Rails開發(fā)的開源應(yīng)用程序,實現(xiàn)一個自托管的Git項目倉庫,可通過Web界面進行訪問公開的或者私人項目。GitLab EE是GitLab企業(yè)版,GitLab CE是GitLab社區(qū)版。
GitLab CE/EE存在路徑遍歷漏洞,該漏洞是由于對路徑限制不嚴(yán),導(dǎo)致未經(jīng)身份驗證的攻擊者可利用該漏洞讀取服務(wù)器上的任意文件。
漏洞公示
在發(fā)布漏洞公告信息之前,CNVD都力爭保證每條公告的準(zhǔn)確性和可靠性。然而,采納和實施公告中的建議則完全由用戶自己決定,其可能引起的問題和結(jié)果也完全由用戶承擔(dān)。是否采納我們的建議取決于您個人或您企業(yè)的決策,您應(yīng)考慮其內(nèi)容是否符合您個人或您企業(yè)的安全策略和流程。
參考網(wǎng)站
https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/
受影響實體
GitLab GitLab CE 16.0.0
GitLab GitLab EE 16.0.0
補丁
用戶可參考如下供應(yīng)商提供的安全公告獲得補丁信息:
https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/
GitLab CE/EE路徑遍歷漏洞的補丁
