GitLab呼吁：盡快修補高危漏洞CVE-2023-2825！

近日，GitLab 發布了緊急安全更新，版本 16.0.1，以解決最大嚴重性（CVSS v3.1 分數：10.0）路徑遍歷缺陷，跟蹤為 CVE-2023-2825。

GitLab 是一個基于 Web 的 Git 存儲庫，面向需要遠程管理其代碼的開發團隊，擁有大約 3000 萬注冊用戶和 100 萬付費客戶。

該漏洞影響 GitLab 社區版 (CE) 和企業版 (EE) 版本 16.0.0，但所有早于此的版本均不受影響。其源于路徑遍歷問題，當嵌套在至少五個組中的公共項目中存在附件時，該問題允許未經身份驗證的攻擊者讀取服務器上的任意文件。

利用 CVE-2023-2825 可能會暴露敏感數據，包括專有軟件代碼、用戶憑據、令牌、文件和其他私人信息。

此先決條件表明該問題與 GitLab 如何管理或解析嵌套在多個級別的組層次結構中的附加文件的路徑有關。但由于問題的嚴重性和發現的新鮮度，廠商此次并未透露太多細節。

相反，GitLab 強調了立即應用最新安全更新的重要性。

“我們強烈建議所有運行受下述問題影響的版本的安裝盡快升級到最新版本，” GitLab 的安全公告中寫道。

“當沒有提到產品的特定部署類型（綜合、源代碼、掌舵圖等）時，這意味著所有類型都會受到影響。”

一個緩解因素是該漏洞只能在特定條件下觸發，即當公共項目中的附件嵌套在至少五個組中時，這不是所有 GitHub 項目都遵循的結構。

盡管如此，建議 GitLab 16.0.0 的所有用戶盡快更新到版本 16.0.1 以降低風險。不幸的是，目前沒有可用的解決方法。