Hjem > Cyber ​​Nyheder > CVE-2022-2884: Kritisk GitLab-sårbarhed muliggør fjernudførelse af kode
CYBER NEWS

CVE-2022-2884: Kritisk GitLab-sårbarhed muliggør fjernudførelse af kode

CVE-2022-2884 gitlab sårbarhed

GitLab afslørede en kritisk sårbarhed for filialer 15.1, 15.2, og 15.3 af dets samfunds- og virksomhedsudgaver. Sårbarheden, identificeret som CVE-2022-2884 og klassificeret 9.9 på CVSS skala, kunne gøre det muligt for en trusselaktør at udføre ekstern kommandoudførelse via Github Import.




Gitlab-versioner påvirket af CVE-2022-2884

Alle versioner fra 15.3 før 15.3.1 er berørt, sagde Gitlab. Sårbarheden tillader en autentificeret bruger at opnå fjernkørsel af programkode ved at udnytte Import from GitHub API-slutpunktet. "Dette er et kritisk alvorlighedsproblem (AF:N / AC:L / PR:L/UI:N / S:C/C:HEJ:H/A:H, 9.9)," virksomheden tilføjet.

CVE-2022-2884-sårbarheden er blevet rapporteret af en forsker kendt som yvvdwf gennem GitLabs HackerOne bug bounty-program.

Løsning mod CVE-2022-2884 tilgængelig

Virksomheden har også leveret omgående tricks mod sårbarheden for brugere, der ikke er i stand til at opgradere deres installationer med det samme.

Første, du skal deaktivere GitHub Import ved at logge på som administrator og følge disse trin:

  • Klik “Menu” -> “Admin”.
  • Klik “Indstillinger” -> “Generel”.
  • Udvid “Synlighed og adgangskontrol” fanen.
  • Under “Importer kilder” deaktiver “GitHub” option.
  • Klik “Gem ændringer”.

Derefter, løsningen skal verificeres ved at udføre følgende instruktioner:

  • I et browservindue, log ind som enhver bruger.
  • Klik “+” på den øverste bjælke.
  • Klik “Nyt projekt/depot”.
  • Klik “Import projekt”.
  • Bekræft det “GitHub” vises ikke som en importmulighed.

I juni, GitLab rettet en anden yderst kritisk sårbarhed der kan føre til kontoovertagelse.

Sporet som CVE-2022-1680 og klassificeret 9.9 ud af 10 på CVSS skala, fejlen påvirkede alle versioner af GitLab Enterprise Edition fra 11.10 Før 14.9.5, alle versioner fra 14.10 Før 14.10.4, og alle versioner fra 15.0 Før 15.0.1. Problemet blev opdaget internt af et medlem af teamet.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig