Lỗ hổng định danh CVE-2023-2825 là lỗ hổng truyền tải đường dẫn (path traversal), cho phép người dùng không xác thực đọc các tệp tùy ý trên máy chủ. Trong các trường hợp cụ thể, khi có tệp đính kèm tồn tại trong một project công khai được lưu trữ trong ít nhất năm nhóm, kẻ tấn công có thể khai thác lỗ hổng để truy cập dữ liệu nhạy cảm của người dùng.
Lỗ hổng được phát hiện và báo cáo thông qua chương trình Bug Bounty HackerOne của GitLab bởi một hacker có tên “pwnie”. Nhóm GitLab đã nhanh chóng phản hồi, đưa ra một bản vá với phiên bản cập nhật mới 16.0.1.
Mặc dù chỉ ảnh hưởng tới phiên bản 16.0.0 của GitLab CE/EE, lỗ hổng vẫn có tác động nghiêm trọng. Kẻ tấn công khai thác CVE-2023-2825 có khả năng truy cập và lấy các tệp dữ liệu nhạy cảm từ máy chủ. Các dữ liệu có thể bao gồm mã nguồn độc quyền, dữ liệu nhạy cảm của người dùng và các chi tiết cấu hình quan trọng có thể được sử dụng thêm để thỏa hiệp hệ thống quan trọng hơn.
Hơn nữa, lỗ hổng không yêu cầu bất kỳ xác thực nào, làm tăng khả năng khai thác của kẻ tấn công. Do mức độ nghiêm trọng của lỗ hổng, GitLab khuyến cáo người dùng nâng cấp các cài đặt GitLab đang chạy trên phiên bản 16.0.0 lên 16.0.1.
Phong Thu
07:00 | 17/01/2024
15:00 | 29/08/2022
08:00 | 06/02/2024
08:00 | 13/06/2022
17:00 | 17/11/2021
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
12:00 | 15/10/2024
Một làn sóng hành động thực thi pháp luật quốc tế mới với sự tham gia của 12 quốc gia đã bắt giữ 4 thành viên và phá hủy 9 máy chủ có liên quan đến hoạt động tống tiền LockBit (hay còn gọi là Bitwise Spider), đánh dấu đợt tấn công mới nhất nhằm vào băng nhóm tội phạm mạng từng có động cơ tài chính mạnh mẽ.
18:00 | 11/10/2024
Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.
14:00 | 24/09/2024
Xác thực hai yếu tố (2FA) từng được xem là lá chắn vững chắc bảo vệ tài khoản của người dùng. Tuy nhiên, với sự tinh vi ngày càng tăng của các cuộc tấn công mạng, lớp bảo vệ này đang dần trở nên mong manh.
Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.
13:00 | 13/01/2025