Descripción de la vulnerabilidad
GitLab es una plataforma de desarrollo colaborativo, control de versiones y alojamiento de código basada en Git.
En GitLab CE/EE versión 16.0.0, el parámetro de nombre de archivo no está filtrado por seguridad cuando se cargan archivos, lo que genera una vulnerabilidad de cruce de ruta.Si hay archivos adjuntos en proyectos públicos anidados en cinco grupos o más, no se autenticarán Un atacante puede explotar esta vulnerabilidad para leer archivos arbitrarios en el servidor.
Nombre de vulnerabilidad | GitLab CE/EE 16.0.0 tiene una vulnerabilidad de cruce de ruta |
---|---|
tipo de vulnerabilidad | recorrido del camino |
Tiempo de descubrimiento | 2023/5/24 |
Amplitud de vulnerabilidad | ancho |
Número MPS | MPS-7coe-gnr6 |
número CVE | CVE-2023-2825 |
número CNVD | - |
Esfera de influencia
GitLab CE/EE@[16.0.0, 16.0.1)
Plan de reparación
Actualice GitLab CE/EE a la versión 16.0.1
Link de referencia
https://www.oscs1024.com/hd/MPS-7coe-gnr6
https://nvd.nist.gov/vuln/detail/CVE-2023-2825
https://github.com/gitlabhq/gitlabhq/commit/34d6370bacdf1849de3618f23faaa9de76612e31
Acerca de Murphy Security
Murphy Security es una empresa de tecnología que le brinda administración de seguridad de la cadena de suministro de software profesional. El equipo central proviene de Baidu, Huawei, Wuyun y otras empresas. La compañía brinda a los clientes una plataforma completa de administración de seguridad de la cadena de suministro de software y proporciona software con un ciclo de vida completo en torno a la gestión de seguridad SBOM, las capacidades de la plataforma incluyen análisis de componentes de software, gestión de seguridad de origen, detección de imágenes de contenedores, alerta temprana de inteligencia de vulnerabilidad y evaluación de acceso a la cadena de suministro de software comercial y otros productos. Proporcione a los clientes capacidades de control completas desde la gestión de identificación de activos de la cadena de suministro, detección de riesgos, control de seguridad y reparación con una sola tecla.
Proyecto de código abierto: https://github.com/murphysecurity/murphysec/?sf=qbyj
El producto se puede integrar con varias herramientas en el proceso de desarrollo existente a un costo muy bajo, incluida la integración perfecta con docenas de herramientas como IDE, Gitlab, Bitbucket, Jenkins, Harbor y Nexus.
Herramienta de detección de seguridad de código gratuita: https://www.murphysec.com/?sf=qbyj
Suscripción de inteligencia gratuita: https://www.oscs1024.com/cm/?sf=qbyj