9VSA23-00837-01 CSIRT comparte datos de vulnerabilidad crítica parchada por GitLab

Resumen

El CSIRT de Gobierno comparte información de una nueva vulnerabilidad crítica que afecta a GitLab Community Edition (CE) y Enterprise Edition (EE), y para la cual ya fue liberado un parche, parte de la versión 16.0.1 de la plataforma.

Vulnerabilidades

CVE-2023-2825

Impacto

Vulnerabilidades críticas

CVE-2023-2825: Un usuario malicioso no autenticado puede usar esta vulnerabilidad de salto de directorios (path traversal) para leer archivos arbitrarios en el servidor, cuando un adjunto existe en un proyecto público anidado en al menos cinco grupos.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Productos afectados

GitLab Community Edition (CE) y Enterprise Edition (EE) desde la versión 16.0.0.

Enlaces

https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2825

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00837-01.