La plataforma de alojamiento e intercambio de código fuente GitLab ha publicado un parche de seguridad que debe aplicarse urgentemente si aún no se ha hecho para los clientes afectados. Descubierta por un determinado pwnie registrado en la plataforma de recompensas por errores HackerOne, la falla reparada por GitLab podría exponer datos confidenciales, incluidos códigos de software patentados, identificaciones de usuarios, tokens, archivos y otra información privada.

Identificada como CVE-2023-2825, a esta vulnerabilidad crítica se le ha asignado una puntuación CVSS máxima de 10. "Recomendamos encarecidamente que todas las instalaciones que utilicen una versión afectada por estos problemas". ordenado GitLab en un boletín de seguridad. “Se descubrió un problema en GitLab CE/EE que afecta únicamente a la versión 16.0.0. Un usuario malintencionado no autenticado puede utilizar una vulnerabilidad de recorrido de ruta para leer archivos arbitrarios en el servidor cuando existe un archivo adjunto en un proyecto público anidado en cinco o más grupos. Los ataques de recorrido de ruta (o recorrido de directorio) tienen como objetivo acceder a archivos y directorios almacenados fuera de la carpeta raíz de un sitio web.

Por lo tanto, los usuarios de las versiones Enterprise y Community de GitLab deben, si aún no lo han hecho, actualizar sus sistemas a 16.0.1, sabiendo que no se ofrece ninguna solución alternativa.