Sårbarhed i GitLab CE og EE

Af Eskil Sørensen, 30/05/23

CVSS-score på 10.

Der er fundet en sårbarhed i GilLab (CE & EE), der har få den sjældne karakter 10 ud af to mulige på CVSS-skalaen. Sårbarheden har id’et CVE-2023-2825.

De berørte produkter er GitLab Community Edition (CE) & Enterprise edition (EE) version 16.0.0. Udnyttelse af sårbarheden kan gøre det muligt for en angriber at udføre ’path traversal’ og få adgang til fortrolige data - uden autentificering vel at mærke.

Security Online skriver i forlængelse af udgivelsen af patchet, at der udgivet en proof-of-concept til udnyttelse.

Det anbefales at patche til version 16.0.1. Det kan ske ved at hente GitLabs egen patch og dermed lukke muligheden for udnyttelse af sårbarheden.

Links:

https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/

https://securityonline.info/poc-exploit-released-for-gitlab-cve-2023-2825-vulnerability/?utm_content=cmp-true

Keywords: 
sårbarhed
Gitlab