GitLab revelou uma vulnerabilidade crítica para branches 15.1, 15.2, e 15.3 de suas edições comunitárias e empresariais. a vulnerabilidade, identificado como CVE-2022-2884 e classificado 9.9 na escala CVSS, pode permitir que um agente de ameaças execute a execução remota de comandos via Github Import.
Versões do Gitlab afetadas pelo CVE-2022-2884
Todas as versões a partir de 15.3 antes de 15.3.1 são afetados, Gitlab disse. A vulnerabilidade permite que um usuário autenticado obtenha execução remota de código explorando o endpoint da API Import from GitHub. “Este é um problema de gravidade crítica (DE:N / AC:G / Fri:L/UI:N / S:C/C:OI:H/A:H, 9.9)," a empresa adicionado.
A vulnerabilidade CVE-2022-2884 foi relatada por um pesquisador conhecido como yvvdwf por meio do programa de recompensas de bugs HackerOne do GitLab.
Solução alternativa para CVE-2022-2884 disponível
A empresa também forneceu truques de solução contra a vulnerabilidade para usuários que não conseguem atualizar suas instalações imediatamente.
Primeiro, você precisa desabilitar o GitHub Import fazendo login como administrador e seguindo estas etapas:
- Clique “Cardápio” -> “administrador”.
- Clique “Configurações” -> “Geral”.
- Expandir o “Visibilidade e controles de acesso” aba.
- Debaixo “Importar fontes” desativar o “GitHub” opção.
- Clique “Salvar alterações”.
Então, a solução alternativa deve ser verificada executando as seguintes instruções:
- Em uma janela do navegador, entre como qualquer usuário.
- Clique “+” na barra superior.
- Clique “Novo projeto/repositório”.
- Clique “Importar projeto”.
- Verifique se “GitHub” não aparece como opção de importação.
Em junho, GitLab corrigido outra vulnerabilidade altamente crítica que pode levar ao controle da conta.
Rastreado como CVE-2022-1680 e classificado 9.9 fora de 10 na escala CVSS, a falha afetou todas as versões do GitLab Enterprise Edition de 11.10 antes 14.9.5, todas as versões a partir de 14.10 antes 14.10.4, e todas as versões a partir de 15.0 antes 15.0.1. O problema foi descoberto internamente por um membro da equipe.