1、漏洞背景描述
近日,GitLab官方发布了GitLab存在任意文件读取的风险通告。
2、漏洞概述
GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务。
GitLab存在任意文件读取漏洞,攻击者可以构造特殊的文件夹来读取任意文件数据。
3、漏洞风险
攻击者成功利用该漏洞,可实现任意文件读取。
4、漏洞影响
GitLab < 13.8.7
GitLab < 13.9.5
GitLab < 13.10.1
5、修复建议
建议相关用户及时将GitLab升级到最新版本或安全版本(已知安全版本:GitLab >= 13.8.7、GitLab >= 13.9.5、GitLab >= 13.10.1)。
官方下载地址:
➢https://about.gitlab.com/update/
参考链接:
➢https://about.gitlab.com/releases/2021/03/31/security-release-gitlab-13-10-1-released/