Hjem > Cyber ​​Nyheder > CVE-2022-2884: Kritisk GitLab-sårbarhed muliggør fjernudførelse af kode
CYBER NEWS

CVE-2022-2884: Kritisk GitLab-sårbarhed muliggør fjernudførelse af kode

ved   |  Last Update:  |  0 Kommentarer  

CVE-2022-2884 gitlab sårbarhed

GitLab afslørede en kritisk sårbarhed for filialer 15.1, 15.2, og 15.3 af dets samfunds- og virksomhedsudgaver. Sårbarheden, identificeret som CVE-2022-2884 og klassificeret 9.9 på CVSS skala, kunne gøre det muligt for en trusselaktør at udføre ekstern kommandoudførelse via Github Import.




Gitlab-versioner påvirket af CVE-2022-2884

Alle versioner fra 15.3 før 15.3.1 er berørt, sagde Gitlab. Sårbarheden tillader en autentificeret bruger at opnå fjernkørsel af programkode ved at udnytte Import from GitHub API-slutpunktet. "Dette er et kritisk alvorlighedsproblem (AF:N / AC:L / PR:L/UI:N / S:C/C:HEJ:H/A:H, 9.9)," virksomheden tilføjet.

CVE-2022-2884-sårbarheden er blevet rapporteret af en forsker kendt som yvvdwf gennem GitLabs HackerOne bug bounty-program.

Løsning mod CVE-2022-2884 tilgængelig

Virksomheden har også leveret omgående tricks mod sårbarheden for brugere, der ikke er i stand til at opgradere deres installationer med det samme.

Første, du skal deaktivere GitHub Import ved at logge på som administrator og følge disse trin:

  • Klik “Menu” -> “Admin”.
  • Klik “Indstillinger” -> “Generel”.
  • Udvid “Synlighed og adgangskontrol” fanen.
  • Under “Importer kilder” deaktiver “GitHub” option.
  • Klik “Gem ændringer”.

Derefter, løsningen skal verificeres ved at udføre følgende instruktioner:

  • I et browservindue, log ind som enhver bruger.
  • Klik “+” på den øverste bjælke.
  • Klik “Nyt projekt/depot”.
  • Klik “Import projekt”.
  • Bekræft det “GitHub” vises ikke som en importmulighed.

I juni, GitLab rettet en anden yderst kritisk sårbarhed der kan føre til kontoovertagelse.

Sporet som CVE-2022-1680 og klassificeret 9.9 ud af 10 på CVSS skala, fejlen påvirkede alle versioner af GitLab Enterprise Edition fra 11.10 Før 14.9.5, alle versioner fra 14.10 Før 14.10.4, og alle versioner fra 15.0 Før 15.0.1. Problemet blev opdaget internt af et medlem af teamet.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Relaterede indlæg:
  1. GitLab Rettelser Session Kapring Bug Hvilket Exposed Brugere til cyberangreb Attackers that were aiming to exploit users through session hijacking...
  2. CVE-2022-1680: Kritisk GitLab-sårbarhed tillader kontoovertagelse GitLab has discovered and fixed a highly critical vulnerability that...
  3. Adobe Patches 112 Sårbarheder i nyeste patch-pakke (CVE-2018-5007) Adobe har udgivet den seneste patch-pakke, der adresserer en...
  4. Dell BIOS-sårbarheder kan forårsage fjernudførelse af kode (CVE-2022-24415) Sikkerhedsforskere rapporterede om flere nye sårbarheder i Dell BIOS, der....
  5. CVE-2019-15.107: Fjernkørsel sårbarhed i Webmin Webmin, a web-based application for system administrators of Unix-based systems...
  6. CVE-2020-3992: Kritisk VMware-fejl kan føre til fjernudførelse af kode CVE-2020-3992 is a VMware vulnerability in the ESXi hypervisor products....
  7. Spotifys Backstage sårbar over for kritisk fjernudførelse af kode En alvorlig sikkerhedssårbarhed i Backstage, en CNCF-inkuberet, open-source project...
  8. CVE-2022-31656: Kritisk VMware Authentication Bypass sårbarhed VMware har for nylig udgivet endnu et sæt patches, der adresserer et nummer...

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig