云安全日报210402：GitLab发现任意文件读写高危漏

GitLab是一个利用 Ruby on Rails 开发的开源应用程序，具有iki以及在线编辑、issue跟踪、CI/CD 等功能。GitLab实现一个自托管的Git项目仓库，可通过Web界面进行访问公开的或者私人项目。3月31日Gitlab官方发布安全更新，修复了多处高危漏洞，其中包括 Project Import 任意文件读取漏洞和Wiki page 任意文件读取漏洞等。以下是漏洞详情

漏洞详情

来源https://about.gitlab./releases/2021/03/31/security-release-gitlab-13-10-1-released/?spm=a2c4g.11174386.n2.3.6f261051TceWRR

1.Gitlab Project Import 任意文件读取漏洞 CVSS评分9.6 严重程度严重

在GitLab CE/EE中发现了一个问题，从13.9开始影响所有版本。专门制作的导入文件可以读取服务器上的文件。

2.Gitlab Wiki page 任意文件读取漏洞 CVSS评分7.5 严重程度严重

在GitLab CE/EE中发现了一个问题，从13.7.9开始影响所有版本。一个专门制作的Wiki页面允许攻击者读取服务器上的任意文件。

受影响产品

此漏洞影响以下版本:

Gitlab CE/EE 13.9.5之前版本

Gitlab CE/EE 13.10.1之前版本

Gitlab CE/EE 13.8.7之前版本

解决方案

目前官方已在最新版本中修复了该漏洞，请受影响的用户尽快升级至以下版本进行防护:

建议升级至以下安全版本

Gitlab CE/EE 13.9.5

Gitlab CE/EE 13.10.1

Gitlab CE/EE 13.8.7

官方下载链接https://about.gitlab./update/

查看更多漏洞信息 以及升级请访问官网

https://about.gitlab./releases/2021/03/17/security-release-gitlab-13-9-4-released/