توسعهدهندهی مخزن گیتلب، از وصلهشدن یک آسیبپذیری بحرانی موجود که میتواند برای بهدست آوردن اطلاعات حساس از سرور و اجرای کد دلخواه از راه دور مورد بهرهبرداری قرار بگیرد، خبر داد. محققان امنیتی با شناسایی این آسیبپذیری در ماه مارس، متوجه شدند که مهاجم میتواند با ایجاد پروژه یا گروه خود و انتقال یک مسئله از یک پروژهی گیتلب به دیگری، پروندههای دلخواه خود را از سرور بهدست آورد. این نقص بهدلیل عدم اعتبارسنجی نام فایلها در تابع UploadsRewriter به وجود آمده است.
به گفتهی محققان، مهاجم میتواند این آسیبپذیری را با هدف خواندن فایلهای دلخواه از سرور، از جمله آنهایی كه پیكربندیها، توکنها و سایر دادههای خصوصی را در خود ذخیره میکنند، مورد بهرهبرداری قرار دهد. طبق گزارشها، این آسیبپذیری تأسیسات محلی گیتلب و همچنین، gitlab.com را تحت تأثیر قرار میدهد.
این آسیبپذیری درحالحاضر توسط گیتلب وصله شده است.
