Kriittinen haavoittuvuus GitLabin Community Edition ja Enterprise Edition tuotteissa
Haavoittuvuus7/2023CVSS 10CVE-2023-2825 (Ulkoinen linkki)
Julkaistu
GitLab on julkaissut päivityksen Community Edition (CE) ja Enterprise Edition (EE) tuotteissa olevaan kriittiseen haavoittuvuuteen. Korjaava versiopäivitys kannattaa asentaa mahdollisimman pian.
Tiedostopolun käsittelyyn liittyvällä haavoittuvuudella hyökkääjä pystyy lukemaan haavoittuvasta järjestelmästä haluamiaan tiedostoja. Haavoittuvuus koskee ainoastaan tuotteiden 16.0.0 versiota, eikä siis koske aiempia versioita. Haavoittuvuuden hyväksikäyttö vaatii myös, että GitLab järjestelmässä on tietyllä tavalla konfiguroitu julkinen projekti.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvat ohjelmistot
GitLab Community Edition (CE) ja Enterprise Edition (EE) tuotteiden versio 16.0.0.
Ratkaisu- ja rajoitusmahdollisuudet
Päivitä GitLab versioon 16.0.1.