Разработчики GitLab выпустили исправления для критической уязвимости удаленного выполнения кода, которая затрагивает GitLab Community Edition (CE) и Enterprise Edition (EE). Баг набрал 9,9 балла из 10 возможных по шкале CVSS и может использоваться через API импорта с GitHub.
Проблема получила идентификатор CVE-2022-2884, и официальный бюллетень безопасности гласит, что уязвимость в GitLab CE/EE представляет угрозу для всех версий, начиная с 11.3.4 до 15.1.5, всех версий от 15.2 до 15.2.3, а также всех версии от 15.3 до 15.3.1.
«Уязвимость позволяет аутентифицированному пользователю удаленно выполнить код через эндпоинт API импорта с GitHub (Import from GitHub), — пишут разработчики. — Мы настоятельно рекомендуем как можно скорее обновить до последних версий все установки, подверженные данной уязвимости».
Патчи для CVE-2022-2884 вошли в состав GitLab Community Edition и Enterprise Edition версий 15.3.1, 15.2.3 и 15.1.5. Тем, кто не может установить исправления прямо сейчас, компания настоятельно рекомендует временно отключить функцию импорта с GitHub в настройках «Visibility and access controls» (используя учетную запись администратора).
