GitLab ha rivelato una vulnerabilità critica per le filiali 15.1, 15.2, e 15.3 delle sue edizioni community ed enterprise. La vulnerabilità, identificato come CVE-2022-2884 e classificato 9.9 sulla scala CVSS, potrebbe consentire a un attore di minacce di eseguire l'esecuzione di comandi remoti tramite Github Import.
Versioni di Gitlab interessate da CVE-2022-2884
Tutte le versioni a partire da 15.3 prima del 15.3.1 sono interessati, ha detto Gitlab. La vulnerabilità consente a un utente autenticato di ottenere esecuzione di codice remoto sfruttando l'endpoint dell'API Import from GitHub. “Questo è un problema di gravità critica (DI:N / AC:L/PR:L/UI:N / S:C/C:CIAO:H/A:H, 9.9)," l'azienda aggiunto.
La vulnerabilità CVE-2022-2884 è stata segnalata da un ricercatore noto come yvvdwf tramite il programma di ricompense dei bug HackerOne di GitLab.
Soluzione alternativa a CVE-2022-2884 disponibile
L'azienda ha anche fornito soluzioni alternative contro la vulnerabilità per gli utenti che non sono in grado di aggiornare immediatamente le proprie installazioni.
Primo, devi disabilitare GitHub Import accedendo come amministratore e seguendo questi passaggi:
- Fare clic “Menu” -> “Admin”.
- Fare clic “Impostazioni” -> “Generale”.
- Espandi il “Visibilità e controlli di accesso” linguetta.
- Sotto “Importa fonti” disabilitare il “GitHub” opzione.
- Fare clic “Salvare le modifiche”.
Poi, la soluzione alternativa deve essere verificata eseguendo le seguenti istruzioni:
- In una finestra del browser, accedi come qualsiasi utente.
- Fare clic “+” sulla barra in alto.
- Fare clic “Nuovo progetto/repository”.
- Fare clic “Importa progetto”.
- Verificalo “GitHub” non viene visualizzato come opzione di importazione.
Nel mese di giugno, GitLab risolto un'altra vulnerabilità altamente critica che potrebbe portare all'acquisizione dell'account.
Tracciato come CVE-2022-1680 e classificato 9.9 su 10 sulla scala CVSS, il difetto ha interessato tutte le versioni di GitLab Enterprise Edition da 11.10 prima 14.9.5, tutte le versioni a partire da 14.10 prima 14.10.4, e tutte le versioni a partire da 15.0 prima 15.0.1. Il problema è stato scoperto internamente da un membro del team.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: