[Riesgo alto] GitLab CE/EE 16.0.0 tiene una vulnerabilidad de cruce de ruta (existe POC)

News 2023-06-12 09:11:47 views: null

Descripción de la vulnerabilidad

GitLab es una plataforma de desarrollo colaborativo, control de versiones y alojamiento de código basada en Git.

En GitLab CE/EE versión 16.0.0, el parámetro de nombre de archivo no está filtrado por seguridad cuando se cargan archivos, lo que genera una vulnerabilidad de cruce de ruta.Si hay archivos adjuntos en proyectos públicos anidados en cinco grupos o más, no se autenticarán Un atacante puede explotar esta vulnerabilidad para leer archivos arbitrarios en el servidor.

Nombre de vulnerabilidad GitLab CE/EE 16.0.0 tiene una vulnerabilidad de cruce de ruta
tipo de vulnerabilidad recorrido del camino
Tiempo de descubrimiento 2023/5/24
Amplitud de vulnerabilidad ancho
Número MPS MPS-7coe-gnr6
número CVE CVE-2023-2825
número CNVD -

Esfera de influencia

GitLab CE/EE@[16.0.0, 16.0.1)

Plan de reparación

Actualice GitLab CE/EE a la versión 16.0.1

Link de referencia

https://www.oscs1024.com/hd/MPS-7coe-gnr6

https://nvd.nist.gov/vuln/detail/CVE-2023-2825

https://github.com/gitlabhq/gitlabhq/commit/34d6370bacdf1849de3618f23faaa9de76612e31

Acerca de Murphy Security

Murphy Security es una empresa de tecnología que le brinda administración de seguridad de la cadena de suministro de software profesional. El equipo central proviene de Baidu, Huawei, Wuyun y otras empresas. La compañía brinda a los clientes una plataforma completa de administración de seguridad de la cadena de suministro de software y proporciona software con un ciclo de vida completo en torno a la gestión de seguridad SBOM, las capacidades de la plataforma incluyen análisis de componentes de software, gestión de seguridad de origen, detección de imágenes de contenedores, alerta temprana de inteligencia de vulnerabilidad y evaluación de acceso a la cadena de suministro de software comercial y otros productos. Proporcione a los clientes capacidades de control completas desde la gestión de identificación de activos de la cadena de suministro, detección de riesgos, control de seguridad y reparación con una sola tecla.
Proyecto de código abierto: https://github.com/murphysecurity/murphysec/?sf=qbyj

El producto se puede integrar con varias herramientas en el proceso de desarrollo existente a un costo muy bajo, incluida la integración perfecta con docenas de herramientas como IDE, Gitlab, Bitbucket, Jenkins, Harbor y Nexus.
Herramienta de detección de seguridad de código gratuita: https://www.murphysec.com/?sf=qbyj
Suscripción de inteligencia gratuita: https://www.oscs1024.com/cm/?sf=qbyj

inserte la descripción de la imagen aquí

Supongo que te gusta

Origin blog.csdn.net/murphysec/article/details/131091889
Recomendado
Clasificación
Diario
Más
2024-06-07(0)
2024-06-06(0)
2024-06-05(0)
2024-06-04(0)
2024-06-03(1)
2024-06-02(0)
2024-06-01(2)
2024-05-31(0)
2024-05-30(0)
2024-05-29(1)

Code World

© 2018 codetd.com