GitLab 为 GitLab 社区版和企业版发布了 11.8.1, 11.7.6 和 11.6.10 版本,这些版本包含许多重要的安全修复程序,强烈建议立即将你正在使用的 GitLab 升级到其中一个版本。
下面介绍一下该版本修复的安全漏洞。
通过 MergeRequestDiff 读取任意文件
当 MergeRequestDiff 对象缺少输入验证时,可导致任意本地文件被读取。该问题现已在最新版本中得到缓解,并已被分配了 CVE-2019-9221 漏洞编号。
受影响版本
GitLab CE/EE 8.0 及更高版本