Разработчики GitLab выпустили исправления для критической уязвимости удаленного выполнения кода, которая затрагивает GitLab Community Edition (CE) и Enterprise Edition (EE). Баг набрал 9,9 балла из 10 возможных по шкале CVSS и может использоваться через API импорта с GitHub.

Проблема получила идентификатор CVE-2022-2884, и официальный бюллетень безопасности гласит, что уязвимость в GitLab CE/EE представляет угрозу для всех версий, начиная с 11.3.4 до 15.1.5, всех версий от 15.2 до 15.2.3, а также всех версии от 15.3 до 15.3.1.

«Уязвимость позволяет аутентифицированному пользователю удаленно выполнить код через эндпоинт API импорта с GitHub (Import from GitHub), — пишут разработчики. — Мы настоятельно рекомендуем как можно скорее обновить до последних версий все установки, подверженные данной уязвимости».

Патчи для CVE-2022-2884 вошли в состав GitLab Community Edition и Enterprise Edition версий 15.3.1, 15.2.3 и 15.1.5. Тем, кто не может установить исправления прямо сейчас, компания настоятельно рекомендует временно отключить функцию импорта с GitHub в настройках «Visibility and access controls» (используя учетную запись администратора).

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии