🔥 我们想告诉你另一个CVE-2023-2825漏洞,我们认为这是一个趋势性的漏洞。CVSS3.1: 10.0影响到GitLab社区版和企业版16.0.0产品。
🆘 它能导致什么?
只要有一个由至少五个用户组管理的公共项目,未经授权的攻击者就可以利用目录遍历漏洞来读取任意文件。成功利用该漏洞可能导致项目代码泄露和用户凭证及其他敏感信息的泄漏。
据推测,该问题与GitLab究竟如何处理嵌入在组层次结构中的多级附件文件路径有关。由于该漏洞的严重程度,供应商强烈建议尽快升级。
✅建议。
我们也建议进行及时更新。在它完成之前,应监控公共项目,以确保该漏洞不能被利用。
💻目前还没有关于存在公开的PoC或黑客攻击中利用该漏洞的信息。
#PositiveTechnologies