พบช่องโหว่ความรุนแรงสูงบน GitLab ควรแพตช์โดยด่วน

GitLab ได้ออก Emergency Security Update เวอร์ชัน 16.0.1 อุดช่องโหว่ความรุนแรงสูง โดยมีคะแนน CVSS v3.1 สูงถึง 10.0 คะแนน

ช่องโหว่ CVE-2023-2825 เป็นช่องโหว่ชนิด Path Traversal ถูกพบใน GitLab ระบบ Git repository ยอดนิยมสำหรับนักพัฒนาซอฟต์แวร์ ค้นพบโดย ‘pwnie’ ซึ่งรายงานผ่านโครงการ HackOne bug bounty program ช่องโหว่นี้เกิดขึ้นใน GitLab Community Edition (CE) และ Enterprise Edition (EE) เวอร์ชัน 16.0.0 ส่วนเวอร์ชันก่อนหน้านั้นไม่ได้รับผลกระทบ ทำให้ผู้โจมตีสามารถอ่านข้อมูลไฟล์ที่อยู่บนเซิฟเวอร์ได้ สามารถเข้าถึงข้อมูลสำคัญ เช่น ซอร์สโค้ด, User credential, token, ไฟล์ และข้อมูลสำคัญอื่นๆ

GitLab ได้แนะนำให้ผู้ที่ใช้งาน GitLab 16.0.0 ทำการอัปเดตไปเป็นเวอร์ชัน 16.0.1 ทันทีเพื่ออุดช่องโหว่เนื่องจากยังไม่พบ Workaround ในการแก้ไขปัญหานี้

ที่มา: https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/