Vulnerabilidad de lectura arbitraria de archivos en GitLab

Fecha de publicación 24/05/2023

Importancia

5 - Crítica

Recursos Afectados

GitLab Community Edition (CE) and Enterprise Edition (EE), versión 16.0.0.

Descripción

El investigador pwnie ha informado de una vulnerabilidad de severidad crítica que podría permitir la lectura arbitraria de archivos en el servidor.

Solución

Actualizar a la versión 16.0.1.

Detalle

Un atacante no autenticado podría explotar esta vulnerabilidad path traversal para leer archivos arbitrarios en el servidor cuando existe un archivo adjunto en un proyecto público anidado dentro de al menos 5 grupos. Se ha asignado el identificador CVE-2023-2825 para esta vulnerabilidad.

Listado de referencias

GitLab Critical Security Release: 16.0.1

Etiquetas

Actualización
Vulnerabilidad