GitLab phát hành bản cập nhật khẩn cấp cho lỗ hổng nghiêm trọng

Thứ tư, 07/06/2023 02:07

Mới đây, GitLab đã phát hành bản cập nhật khẩn cấp, phiên bản 16.0.1 cho GitLab Community Edition (CE) và Enterprise Edition (EE) để giải quyết lỗ hổng nghiêm trọng trong phiên bản 16.0.0 có điểm CVSS 10/10.

20230617-ta36.png

Lỗ hổng định danh CVE-2023-2825 là lỗ hổng truyền tải đường dẫn (path traversal), cho phép người dùng không xác thực đọc các tệp tùy ý trên máy chủ. Trong các trường hợp cụ thể, khi có tệp đính kèm tồn tại trong một project công khai được lưu trữ trong ít nhất năm nhóm, kẻ tấn công có thể khai thác lỗ hổng để truy cập dữ liệu nhạy cảm của người dùng.

Lỗ hổng được phát hiện và báo cáo thông qua chương trình Bug Bounty HackerOne của GitLab bởi một hacker có tên “pwnie”. Nhóm GitLab đã nhanh chóng phản hồi, đưa ra một bản vá với phiên bản cập nhật mới 16.0.1.

Mặc dù chỉ ảnh hưởng tới phiên bản 16.0.0 của GitLab CE/EE, lỗ hổng vẫn có tác động nghiêm trọng. Kẻ tấn công khai thác CVE-2023-2825 có khả năng truy cập và lấy các tệp dữ liệu nhạy cảm từ máy chủ. Các dữ liệu có thể bao gồm mã nguồn độc quyền, dữ liệu nhạy cảm của người dùng và các chi tiết cấu hình quan trọng có thể được sử dụng thêm để thỏa hiệp hệ thống quan trọng hơn.

Hơn nữa, lỗ hổng không yêu cầu bất kỳ xác thực nào, làm tăng khả năng khai thác của kẻ tấn công. Do mức độ nghiêm trọng của lỗ hổng, GitLab khuyến cáo người dùng nâng cấp các cài đặt GitLab đang chạy trên phiên bản 16.0.0 lên 16.0.1.

banner
icon

Cổng dịch vụ công
Quốc Gia

Những thông tin thủ tục hành chính
khai báo online tại đây

Xem chi tiết icon
icon

Chính sách
pháp luật Việt Nam

Cập nhật thông tin, chính sách
pháp luật Việt Nam

Xem chi tiết icon
icon

Giới thiệu
Sản phẩm dịch vụ

Nơi giới thiệu những sản phẩm,
dịch vụ tốt nhất dành cho bạn đọc

Xem chi tiết icon

Cổng thông tin điện tử của các đơn vị thuộc Bộ

Doanh nghiệp

Top