强烈建议复原 GitLab 曝 史上最大缺陷 漏洞

Bleeping Computer 网站披露，在 GitLab 中发布了一个版本号为16.0.1的紧急安全问题更新，以解决被追踪为 CVE-2023-2825 的严重性（CVSS v3.1 评分：10.0）路径遍历漏洞。

GitLab 是一个基于网络的 Git 存储库，主要面向需要远程管理代码的开发团队，目前共拥有约 3000 万注册用户和 100 万付费客户。

CVE-2023-2825 漏洞源于路径遍历问题，当一个附件存在于至少五个组内嵌套的公共项目中时，未经认证的攻击者可以在服务器上读取任意文件。利用 CVE-2023-2825 漏洞还可能会暴露包括专有软件代码、用户凭证、令牌、文件和其他私人信息在内的敏感数据。

以上的先决条件表明CVE-2023-2825漏洞问题与GitLab 如何管理或解决嵌套在几级组层次结构中的附件文件的路径有关。然而由于问题的关键性和发现及时，GitLab 没有披露很多细节，但我们一再强调安装的用户能够使用最新版本的安全更新的重要性。

值得一提的是，CVE-2023-2825 漏洞只能在特定条件下才会触发，即当公共项目中有一个附件嵌套在至少五个组中时，好在这并不是所有 GitHub 项目遵循的结构。因此，如果你想避免这种情况，你需要确保每个组都有一个公共项目。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!