GitLab – Path traversal kritična ranjivost
Dana 23. svibnja 2023. godine, GitLab je izdao hitnu sigurnosnu nadogradnju kako bi otklonio ranjivost pristupanja putanjom (engl.
path traversal) kritične razine rizika označene kao
CVE-2023-2825, s CVSS v3.1 ocjenom
10.0.
Ovaj propust je otkriven u verziji 16.0.0 GitLab Community Edition (CE) i Enterprise Edition (EE), pri čemu starije verzije nisu pogođene. Ranjivost omogućuje neovlaštenom napadaču čitanje proizvoljnih datoteka na poslužitelju kada postoji privitak u javnom projektu koji je ugniježđen u najmanje pet grupa.
Tehnički detalji:
Ranjivost proizlazi u načinu na koji GitLab upravlja ili razrješuje putanje za priložene datoteke ugniježđene unutar više razina hijerarhije grupa. Neautentificirani napadač ranjivost može zloupotrijebiti za čitanje proizvoljnih datoteka na poslužitelju, čime se potencijalno izlažu osjetljivi podatci, uključujući vlasnički softverski kod, korisnički pristupni podatci, tokeni, datoteke i druge privatne informacije.
Ranjivost se može pokrenuti samo pod određenim uvjetima, tj. kada postoji privitak u javnom projektu ugniježđen unutar najmanje pet grupa.
Zahvaćeni proizvodi:
Ranjivost utječe na GitLab Community Edition (CE) i Enterprise Edition (EE) verziju 16.0.0. Starije verzije nisu pogođene ovom ranjivošću.
Preporuke:
Instalacije koje koriste GitLab CE/EE verziju 16.0.0 nadograditi zadnju dostupnu verziju (u trenutku pisanja članka 16.0.1)
Više informacija moguće je pročitati na poveznicama u nastavku:
[Inicijalna objava: 1.6.2023, 11:51]