GitLabのミュニティーエディションとエンタープライズエディションに「緊急」(Critical)の脆弱性が見つかった。CVSSv3.1のスコア値が「10.0」と最高値が付いているため迅速にアップデートを適用してほしい。
この記事は会員限定です。会員登録すると全てご覧いただけます。
GitLabは2023年5月23日(現地時間)、Gitリポジトリマネジャー「GitLab」のコミュニティーエディションとエンタープライズエディションに「緊急」(Critical)の脆弱(ぜいじゃく)性が存在すると発表した。
脆弱性は共通脆弱性評価システム(CVSS)v3.1のスコア値が「10.0」と最高値が付けられており注意が必要だ。
脆弱性が存在するバージョンは以下の通りだ。
通常、こうした脆弱性は古いバージョンにも存在していることが多いが、今回の脆弱性は上記だけに存在する。脆弱性に対処したバージョンは以下の通りだ。
今回見つかった「緊急」(Critical)の脆弱性は「CVE-2023-2825」として特定されている。CVE-2023-2825はアップロードパストラバーサルの脆弱性で、悪用されると、認証されていないサイバー攻撃者がサーバ上の任意のファイルを読み込める可能性がある。
同脆弱性はHackerOneのバグ報奨金プログラムを通じて発見された。GitLabは該当製品のユーザーに対して問題が修正されたバージョンにアップデートすることを強く推奨している。なお、GitLib.comで運用されているバージョンはすでに問題が修正されたバージョンにアップデートされている。
Copyright © ITmedia, Inc. All Rights Reserved.