GitLab a révélé une vulnérabilité critique pour les branches 15.1, 15.2, et 15.3 de ses éditions communauté et entreprise. La vulnérabilité, identifié comme CVE-2022-2884 et classé 9.9 à l'échelle CVSS, pourrait permettre à un acteur malveillant d'exécuter une commande à distance via Github Import.
Versions de Gitlab affectées par CVE-2022-2884
Toutes les versions à partir de 15.3 avant 15.3.1 sont concernés, Gitlab a dit. La vulnérabilité permet à un utilisateur authentifié d'obtenir exécution de code distant en exploitant le point de terminaison de l'API Import from GitHub. "Il s'agit d'un problème de gravité critique (DE:N / AC:L / PR:L/UI:N / S:C/C:SALUT:HA:H, 9.9)," l'entreprise ajoutée.
La vulnérabilité CVE-2022-2884 a été signalée par un chercheur connu sous le nom de yvvdwf via le programme de primes de bogues HackerOne de GitLab..
Solution de contournement contre CVE-2022-2884 disponible
La société a également fourni des astuces de contournement contre la vulnérabilité pour les utilisateurs qui ne peuvent pas mettre à niveau leurs installations immédiatement..
Première, vous devez désactiver GitHub Import en vous connectant en tant qu'administrateur et en suivant ces étapes:
- Cliquez “Menu” -> “Administrateur”.
- Cliquez “Paramètres” -> “Général”.
- Élargir le “Contrôles de visibilité et d'accès” languette.
- En dessous de “Sources d'importation” désactiver le “GitHub” option.
- Cliquez “Sauvegarder les modifications”.
Puis, la solution de contournement doit être vérifiée en exécutant les instructions suivantes:
- Dans une fenêtre de navigateur, connectez-vous comme n'importe quel utilisateur.
- Cliquez “+” sur la barre du haut.
- Cliquez “Nouveau projet/dépôt”.
- Cliquez “Importer un projet”.
- Vérifier que “GitHub” n'apparaît pas comme une option d'importation.
En Juin, GitLab corrigé une autre vulnérabilité hautement critique qui pourrait conduire à la prise de contrôle de compte.
Suivi en tant que CVE-2022-1680 et classé 9.9 de 10 à l'échelle CVSS, la faille a affecté toutes les versions de GitLab Enterprise Edition de 11.10 avant 14.9.5, toutes les versions à partir de 14.10 avant 14.10.4, et toutes les versions à partir de 15.0 avant 15.0.1. Le problème a été découvert en interne par un membre de l'équipe.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: