RCE-уязвимость в GitLab может привести к потере контроля над вашим компьютером

Платформа GitLab выпустила исправление для критической RCE-уязвимости CVE-2022-2884 (CVSS 9.9), затрагивающая выпуски GitLab Community Edition (CE) и Enterprise Edition (EE).

Недостаток позволяет авторизованному хакеру удаленно выполнить код на устройстве через GitLab Import API. Исследователь yvvdwf первый обнаружил уязвимость и сообщил о ней через программу Bug Bounty компании HackerOne.

Согласно уведомлению GitLab, ошибка в GitLab CE/EE затрагивает следующие версии:

• с 11.3.4 до 15.1.5;
• с 15.2 до 15.2.3;
• с 15.3 до 15.3.1.

GitLab призвал пользователей как можно скорее установить обновления затронутых версий, а также предоставил обходной путь для тех, кто не может обновить прошивку. Платформа порекомендовала отключить функцию импорта GitLab на вкладке «Видимость и управление доступом» в меню «Настройки» после аутентификации в качестве «администратора». На данный момент не известно, используется ли эта уязвимость в атаках.