GitLab发布了针对其两款产品中发现的严重安全漏洞的修复程序，并告知用户立即应用该补丁。

GitLab是一个DevOps软件包，允许用户开发、保护和操作需要远程管理代码的开发团队使用的软件，拥有约3000万注册用户，其中包括100万付费客户。

该公司最近发现了一个路径遍历缺陷，编号为CVE-2023-2825。当满足某些条件时，此漏洞允许未经身份验证的攻击者读取服务器上的任意文件。因此，威胁行为者可以从易受攻击的端点读取敏感数据，例如专有软件代码、用户凭据等。目前还没有更多详细信息，GitLab表示将在补丁发布后一个月提供更多信息。

该缺陷的严重性评分为10/10，并在GitLab社区版(CE)和企业版(EE)16.0.0版中发现。并非所有旧版本都会受到影响，但GitLab仍然建议用户应用修复程序并将工具升级到版本16.0.1。

GitLab在与修复程序一起发布的安全公告中表示：“我们强烈建议所有运行受下述问题影响的版本的安装尽快升级到最新版本。”“当没有提及产品的特定部署类型(综合、源代码、舵图等)时，这意味着所有类型都会受到影响。”

研究人员表示，为了利用该缺陷，公共项目中需要有一个至少嵌套在五个组中的附件。这里的一线希望是，这并不是所有GitHub项目中都存在的结构。尽管如此，该公司仍敦促每个人都应用修复程序，因为该缺陷没有解决方法，而且风险太大。

要更新GitLab安装，用户应按照此处的说明进行操作。