大工网安告[2023]021

一、情况分析

GitLab是一个基于Web的Git仓库管理工具，基于Ruby on Rails构建，提供了代码仓库管理、问题跟踪、CI/CD以及团队协作等功能。GitLab还提供了许多其他功能，例如自动化构建、集成测试、容器注册、安全扫描等，使团队能够更轻松地交付高质量的软件。近日，GitLab官方发布了安全公告，修复了一个存在于GitLab中路径遍历漏洞（CVE-2023-2825），攻击者利用该漏洞可读取服务器上的任意文件，获取敏感信息。由于GitLab存在路径遍历漏洞，当附件存在于嵌套在至少五个组中的公共项目中时，未经身份验证的恶意攻击者可以通过uploads功能遍历读取目标服务器上的任意文件，获取敏感信息。

二、影响范围

GitLab CE/EE 16.0.0

三、处置建议

官方补丁

目前官方已修复该漏洞，受影响用户可以升级更新到安全版本。官方下载链接：https://about.gitlab.com/update/

参考链接

https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/