Huis > Cyber ​​Nieuws > CVE-2022-2884: Kritieke GitLab-kwetsbaarheid maakt uitvoering van externe code mogelijk
CYBER NEWS

CVE-2022-2884: Kritieke GitLab-kwetsbaarheid maakt uitvoering van externe code mogelijk

CVE-2022-2884 gitlab-kwetsbaarheid

GitLab onthulde een kritieke kwetsbaarheid voor branches 15.1, 15.2, en 15.3 van zijn community- en enterprise-edities. De kwetsbaarheid, geïdentificeerd als CVE-2022-2884 en beoordeeld 9.9 op de schaal CVSS, kan een bedreigingsactor in staat stellen om opdrachten op afstand uit te voeren via Github Import.




Gitlab-versies beïnvloed door CVE-2022-2884

Alle versies vanaf 15.3 vóór 15.3.1 worden beïnvloed, Gitlab zei:. De kwetsbaarheid stelt een geverifieerde gebruiker in staat om: uitvoering van externe code door gebruik te maken van het Import from GitHub API-eindpunt. "Dit is een probleem met kritieke ernst (VAN:N / AC:L / PR:L/UI:NS:C/C:HOI:H/A:H, 9.9)," het bedrijf toegevoegd.

De kwetsbaarheid CVE-2022-2884 is gemeld door een onderzoeker die bekend staat als yvvdwf via GitLab's HackerOne bug bounty-programma.

Tijdelijke oplossing tegen CVE-2022-2884 beschikbaar

Het bedrijf heeft ook tijdelijke oplossingen geboden tegen de kwetsbaarheid voor gebruikers die hun installaties niet meteen kunnen upgraden.

Eerste, je moet GitHub Import uitschakelen door in te loggen als beheerder en deze stappen te volgen:

  • Klik “Menu” -> “beheerder”.
  • Klik “Instellingen” -> “Algemeen”.
  • Vouw de . uit “Zichtbaarheid en toegangscontrole” tab.
  • Onder “Bronnen importeren” de . uitschakelen “GitHub” optie.
  • Klik “Wijzigingen opslaan”.

Dan, de tijdelijke oplossing moet worden geverifieerd door de volgende instructies uit te voeren::

  • In een browservenster, inloggen als elke gebruiker.
  • Klik “+” op de bovenste balk.
  • Klik “Nieuw project/repository”.
  • Klik “Project importeren”.
  • Verifieer dat “GitHub” verschijnt niet als importoptie.

In juni, GitLab gerepareerd nog een zeer kritieke kwetsbaarheid dat kan leiden tot accountovername.

Bijgehouden als CVE-2022-1680 en beoordeeld 9.9 uit 10 op de schaal CVSS, de fout trof alle versies van GitLab Enterprise Edition van 11.10 voor 14.9.5, alle versies vanaf 14.10 voor 14.10.4, en alle versies vanaf 15.0 voor 15.0.1. Het probleem is intern ontdekt door een lid van het team.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens