評論員文章

(資料圖片)

Bleeping Computer 網站披露，GitLab 發布了 16.0.1 版緊急安全更新，以解決被追蹤為 CVE-2023-2825 的嚴重性（CVSS v3.1 評分：10.0）路徑遍歷漏洞。

GitLab是一個基于網絡的Git存儲庫，主要面向需要遠程管理代碼的開發團隊，目前共擁有約3000萬注冊用戶和100萬付費客戶。

一位名叫 pwnie 的安全研究員發現 CVE-2023-2825 漏洞，隨后在 GitLab 的 HackOne 漏洞獎勵計劃中報告了這個問題。據悉，該漏洞影響 GitLab社區版（CE）和企業版（EE）的 16.0.0 版本，其它更早的版本幾乎都不受影響。

CVE-2023-2825 漏洞源于路徑遍歷問題，當一個附件存在于至少五個組內嵌套的公共項目中時，未經認證的攻擊者可以在服務器上讀取任意文件。利用 CVE-2023-2825 漏洞還可能會暴露包括專有軟件代碼、用戶憑證、令牌、文件和其他私人信息在內的敏感數據。

以上的先決條件表明 CVE-2023-2825 漏洞問題與 GitLab 如何管理或解決嵌套在幾級組層次結構中的附件文件的路徑有關。然而由于問題的關鍵性和發現及時，GitLab 沒有披露很多細節，但一再強調用戶使用最新安全更新的重要性。

GitLab 在安全公告中表示，強烈建議所有運行受 CVE-2023-2825 漏洞影響版本的裝置中盡快升級到最新版本。（當沒有提到產品的具體部署類型（總括、源代碼、舵手圖等）時，意味著所有類型都受到影響。）

值得一提的是，CVE-2023-2825 漏洞只能在特定條件下才會觸發，即當公共項目中有一個附件嵌套在至少五個組中時，好在這并不是所有 GitHub 項目遵循的結構。

盡管如此，GitHub 還是建議所有 GitLab 16.0.0 的用戶盡快更新到 16.0.1 版本，以降低安全風險。

文章來源：https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/