Lỗ hổng định danh CVE-2023-2825 là lỗ hổng truyền tải đường dẫn (path traversal), cho phép người dùng không xác thực đọc các tệp tùy ý trên máy chủ. Trong các trường hợp cụ thể, khi có tệp đính kèm tồn tại trong một project công khai được lưu trữ trong ít nhất năm nhóm, kẻ tấn công có thể khai thác lỗ hổng để truy cập dữ liệu nhạy cảm của người dùng.
Lỗ hổng được phát hiện và báo cáo thông qua chương trình Bug Bounty HackerOne của GitLab bởi một hacker có tên “pwnie”. Nhóm GitLab đã nhanh chóng phản hồi, đưa ra một bản vá với phiên bản cập nhật mới 16.0.1.
Mặc dù chỉ ảnh hưởng tới phiên bản 16.0.0 của GitLab CE/EE, lỗ hổng vẫn có tác động nghiêm trọng. Kẻ tấn công khai thác CVE-2023-2825 có khả năng truy cập và lấy các tệp dữ liệu nhạy cảm từ máy chủ. Các dữ liệu có thể bao gồm mã nguồn độc quyền, dữ liệu nhạy cảm của người dùng và các chi tiết cấu hình quan trọng có thể được sử dụng thêm để thỏa hiệp hệ thống quan trọng hơn.
Hơn nữa, lỗ hổng không yêu cầu bất kỳ xác thực nào, làm tăng khả năng khai thác của kẻ tấn công. Do mức độ nghiêm trọng của lỗ hổng, GitLab khuyến cáo người dùng nâng cấp các cài đặt GitLab đang chạy trên phiên bản 16.0.0 lên 16.0.1.
Phong Thu
07:00 | 17/01/2024
15:00 | 29/08/2022
08:00 | 06/02/2024
08:00 | 13/06/2022
17:00 | 17/11/2021
09:00 | 13/02/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
21:00 | 16/11/2023
Các nhà nghiên cứu bảo mật của công ty an ninh mạng CrowdStrike cho biết đã phát hiện một chiến dịch tấn công mạng mới được thực hiện bởi nhóm tin tặc Imperial Kitten, với các mục tiêu nhắm vào các công ty trong lĩnh vực vận tải, hậu cần và công nghệ của Israel.
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
10:00 | 22/04/2024