Severity: Critical

CVSSv3 Score: 10.0

Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N

Ngày 23/5/2023 Gitlab đã phát hành GitLab Community Edition (CE) và Enterprise Edition (EE) phiên bản 16.0.1 nhằm khắc phục lỗ hổng Path Traversal nghiêm trọng tồn tại trong bản 16.0.0. Lỗ hổng nghiêm trọng này có mã định danh CVE-2023-2825 cho phép kẻ tấn công có thể tuỳ ý đọc các tệp trên máy chủ mà không cần xác thực.

Phiên bản ảnh hưởng

GitLab CE/EE ảnh hưởng chỉ version 16.0.0

Khắc phục

Phòng ISO đề nghị các phòng ban đang sử dụng Gitlab rà soát lại phiên bản đang chạy và tiến hành cập nhật ngay Gitlab phiên bản 16.0.1 (hoặc mới hơn) nếu đang sử dụng phiên bản 16.0.0. Các phiên bản thấp hơn không bị ảnh hưởng bởi lỗ hổng này.
Giới hạn truy cập vào gitlab bằng OVPN chỉ cho phép truy cập từ người dùng được cấp phép.

Tham khảo:

https://securityonline.info/cve-2023-2825-critical-bug-in-gitlab-with-cvss-score-of-10/
https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/

CVE-2023-2825 Gitlab critical path traversal vulnerability