🔥 Хотим рассказать о еще одной уязвимости CVE-2023-2825, которую считаем трендовой. Уязвимость с уровнем CVSS3.1: 10.0 затрагивает продукты GitLab Community и Enterprise Edition версии 16.0.0.

🆘 К чему может привести

Неавторизованный злоумышленник может использовать уязвимость обхода директорий для чтения произвольных файлов при условии существования публичного проекта управляемого как минимум пятью группами пользователей. Успешная эксплуатация может привести к раскрытию кода проектов, утечке учетных данных пользователей и другой чувствительной информации.

Предположительно, проблема связана с тем, как именно GitLab работает с путями прикрепленных файлов, вложенных в несколько уровней иерархии групп. В связи с критически опасным уровнем уязвимости вендор настоятельно рекомендует выполнить обновление как можно быстрее.

✅ Рекомендации

Мы также рекомендуем выполнить оперативное обновление. Пока оно не будет произведено, необходимо контролировать публичные проекты, чтобы не допустить возможность эксплуатации уязвимости.

💻 Информации о существовании публично доступного PoC или об эксплуатации уязвимости в хакерских атаках пока нет.

#PositiveTechnologies

Тем временем, до окончания CFP у наших друзей AppSec.Zone (OFFZONE), осталось чуть больше месяца. Есть желающие рассказать о безопасной разработке на крутом техническом ивенте? 🤩

🕜🕜 Ищем спикеров на AppSec.Zone

В прошлом году было много крутых докладов на разные темы: open-source SAST, Private Sandbox, поиск секретов в кодобазе, особенности современного анализа защищенности веб-приложений и другие.

Если вам есть что рассказать, вы любите необычные уязвимости и жить не можете без кавычек, ждем на AppSec.Zone с докладом!

Спикеры, прошедшие отбор, получат бесплатный билет на OFFZONE и приятные бонусы.

Подать заявку можно на почту appsec@offzone.moscow