GitLab 模版API目录遍历漏洞安全通告
发布时间 2018-12-11漏洞编号和级别
CVE编号:CVE-2018-19856,危险级别:严重,CVSS分值:官方未评定
影响版本
GitLab CE / EE 8.11 及之后的版本
漏洞概述
GitLab 是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,并在此基础上搭建起来的 web 服务。
GitLab 模版 API 存在目录遍历漏洞,攻击者可以通过该漏洞访问 GitLab 服务器上的任意文件,存在敏感信息泄露的风险。
漏洞验证
暂无POC/EXP。
修复建议
更新GitLab CE / EE 至11.5.3、11.4.10 或11.3.12 中的任意一个版本
FreeBSD提供了更新
http://www.vuxml.org/freebsd/9d3428d4-f98c-11e8-a148-001b217b3468.html
参考链接
https://about.gitlab.com/2018/12/06/critical-security-release-gitlab-11-dot-5-dot-3-released/
京公网安备11010802024551号