万利国际官网

首页 > 清静研究 > 清静转达 > 清静通告

GitLab 4月恣意文件读取误差

宣布时间 2021-04-01

0x00 误差概述

CVE ID		时间	2021-04-01
类型	恣意文件读取	等级	严重
远程使用	是	影响规模
PoC/EXP	未果真	在野使用

0x01 误差详情

GitLab 是一个用于客栈治理系统的开源项目，，，，，，，其使用Git作为代码治理工具，，，，，，，可通过Web界面会见果真或私人项目。。。。。。。

2021年03月31日，，，，，，，Gitlab宣布清静通告，，，，，，，果真了GitLab社区版（CE）和企业版（EE）中的多个清静误差。。。。。。。其中较为严重的是一个恣意文件读取误差，，，，，，，其CVSSv3评分为9.6，，，，，，，攻击者可以通过导入特定文件来读取效劳器上的恣意文件；；；；；以及一个Kroki恣意文件读取误差，，，，，，，其CVSSv3评分为7.5，，，，，，，攻击者可以通过特制的Wiki页面来读取效劳器上的恣意文件。。。。。。。

影响规模

Gitlab CE/EE < 13.8.7

Gitlab CE/EE < 13.9.5

Gitlab CE/EE < 13.10.1

0x02 处置惩罚建议

现在官方已修复了此误差，，，，，，，建议升级至以下版本：

Gitlab CE/EE 13.8.7

Gitlab CE/EE 13.9.5

Gitlab CE/EE 13.10.1

下载链接：

https://about.gitlab.com/update/

0x03 参考链接

https://about.gitlab.com/releases/2021/03/31/security-release-gitlab-13-10-1-released/

https://about.gitlab.com/update/

0x04 时间线

2021-03-31 GitLab宣布清静通告

2021-04-01 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 万利国际官网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】