O GitLab lançou uma atualização de segurança de emergência, versão 16.0.1, para corrigir uma falha de path traversal de gravidade máxima (pontuação CVSS v3.1: 10,0) rastreada como CVE-2023-2825.
O GitLab é um repositório Git baseado na web para equipes de desenvolvedores que precisam gerenciar seu código remotamente e possui aproximadamente 30 milhões de usuários registrados e um milhão de clientes pagantes.
A vulnerabilidade abordada na última atualização foi descoberta por um pesquisador de segurança chamado 'pwnie', que relatou o problema no programa de recompensas por bugs do projeto HackOne.
Afeta a versão 16.0.0 do GitLab Community Edition (CE) e Enterprise Edition (EE), mas todas as versões anteriores a esta não são afetadas.
A falha surge de um problema de path traversal que permite a um invasor não autenticado ler arquivos arbitrários no servidor quando um anexo existe em um projeto público aninhado dentro de pelo menos cinco grupos.
A exploração do CVE-2023-2825 pode expor dados sensíveis, incluindo código de software proprietário, credenciais de usuário, tokens, arquivos e outras informações privadas.
Isso sugere que o problema se relaciona com a forma como o GitLab gerencia ou resolve caminhos para arquivos anexados aninhados dentro de vários níveis de hierarquia de grupo.
No entanto, devido à criticidade do problema e à novidade de sua descoberta, não muitos detalhes foram divulgados pelo fornecedor desta vez.
Em vez disso, o GitLab destacou a importância de aplicar a última atualização de segurança sem demora.
"Recomendamos fortemente que todas as instalações que executam uma versão afetada pelos problemas descritos abaixo sejam atualizadas para a versão mais recente o mais rápido possível", diz o boletim de segurança do GitLab.
"Quando nenhum tipo de implantação específico (omnibus, código-fonte, gráfico de helm, etc.) de um produto é mencionado, isso significa que todos os tipos são afetados."
Um fator mitigante é que a vulnerabilidade só pode ser acionada sob condições específicas, ou seja, quando há um anexo em um projeto público aninhado dentro de pelo menos cinco grupos, que não é a estrutura seguida em todos os projetos do GitHub.
No entanto, todos os usuários do GitLab 16.0.0 são recomendados a atualizar para a versão 16.0.1 o mais rápido possível para mitigar o risco.
Infelizmente, não há soluções alternativas disponíveis neste momento.
Para atualizar sua instalação do GitLab, siga as instruções na página de atualização do projeto.
Para atualizações do GitLab Runner, consulte este guia.