GitLab reveló una vulnerabilidad crítica para las sucursales 15.1, 15.2, y 15.3 de sus ediciones comunitaria y empresarial. La vulnerabilidad, identificado como CVE-2022-2884 y calificado 9.9 en la escala CVSS, podría permitir que un actor de amenazas lleve a cabo la ejecución remota de comandos a través de Github Import.
Versiones de Gitlab afectadas por CVE-2022-2884
Todas las versiones a partir de 15.3 antes de 15.3.1 están afectados, Gitlab dijo. La vulnerabilidad permite que un usuario autenticado logre ejecución remota de código explotando el punto final Importar desde la API de GitHub. “Este es un problema de gravedad crítica (DE:N / AC:L / PR:L/IU:N / S:C/C:HOLA:DECIR AH:H, 9.9)," la empresa adicional.
La vulnerabilidad CVE-2022-2884 ha sido reportada por un investigador conocido como yvvdwf a través del programa de recompensas por errores HackerOne de GitLab..
Solución contra CVE-2022-2884 disponible
La compañía también ha proporcionado trucos de solución contra la vulnerabilidad para los usuarios que no pueden actualizar sus instalaciones de inmediato..
Primero, debe deshabilitar la importación de GitHub iniciando sesión como administrador y siguiendo estos pasos:
- Haga clic en “Menú” -> “Administración”.
- Haga clic en “Ajustes” -> “General”.
- Ampliar la “Controles de visibilidad y acceso” lengüeta.
- Debajo “Fuentes de importación” deshabilitar el “GitHub” opción.
- Haga clic en “Guardar cambios”.
Entonces, la solución debe verificarse realizando las siguientes instrucciones:
- En una ventana del navegador, iniciar sesión como cualquier usuario.
- Haga clic en “+” en la barra superior.
- Haga clic en “Nuevo proyecto/repositorio”.
- Haga clic en “Importar proyecto”.
- Comprueba eso “GitHub” no aparece como opción de importación.
En junio, GitLab arreglado otra vulnerabilidad altamente crítica que podría llevar a la apropiación de la cuenta.
Rastreado como CVE-2022-1680 y clasificado 9.9 de 10 en la escala CVSS, la falla afectó a todas las versiones de GitLab Enterprise Edition desde 11.10 antes de 14.9.5, todas las versiones a partir de 14.10 antes de 14.10.4, y todas las versiones a partir de 15.0 antes de 15.0.1. El problema fue descubierto internamente por un miembro del equipo..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: