Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') in GitLab 漏洞信息(CVE-2023-3385)

一、漏洞 CVE-2023-3385 基础信息

漏洞标题

GitLab 中 Pathname 错误地将路径限制在受限目录('路径遍历')中

来源：AIGC 神龙大模型

漏洞描述信息

GitLab中的路径名限制不当至受限目录（‘路径遍历’）

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

对路径名的限制不恰当(路径遍历)

来源：AIGC 神龙大模型

漏洞标题

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') in GitLab

来源：美国国家漏洞数据库 NVD

漏洞描述信息

An issue has been discovered in GitLab affecting all versions starting from 8.10 before 16.0.8, all versions starting from 16.1 before 16.1.3, all versions starting from 16.2 before 16.2.2. Under specific circumstances, a user importing a project 'from export' could access and read unrelated files via uploading a specially crafted file. This was due to a bug in `tar`, fixed in [`tar-1.35`](https://lists.gnu.org/archive/html/info-gnu/2023-07/msg00005.html).

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

对路径名的限制不恰当(路径遍历)

来源：美国国家漏洞数据库 NVD

漏洞标题

GitLab 路径遍历漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

GitLab是美国GitLab公司的一个开源的端到端软件开发平台，具有内置的版本控制、问题跟踪、代码审查、CI/CD（持续集成和持续交付）等功能。 GitLab存在路径遍历漏洞，该漏洞源于tar存在安全漏洞，允许攻击者通过上传特制文件来访问和读取任意文件。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

路径遍历

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2023-3385 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2023-3385 的情报信息

https://gitlab.com/gitlab-org/gitlab/-/issues/416161 issue-tracking
https://hackerone.com/reports/2032730 technical-description exploit
https://nvd.nist.gov/vuln/detail/CVE-2023-3385

一、 漏洞 CVE-2023-3385 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2023-3385 的公开POC

三、漏洞 CVE-2023-3385 的情报信息

一、漏洞 CVE-2023-3385 基础信息