Для платформы DevOps GitLab, которую знает и использует почти | ISACARuSec

Для платформы DevOps GitLab, которую знает и использует почти каждый программист в своей работе, на этой неделе выпустили исправления от критической уязвимости, которая может привести к выполнению произвольного кода.

Бага, отслеживаемая как CVE-2022-2884 имеет рейтинг 9,9 по CVSS и затрагивает все версии GitLab Community Edition (CE) и Enterprise Edition (EE), начиная с 11.3.4 до 15.1.5, 15.2 до 15.2.3 и 15.3 до 15.3.1.

По своей сути, обнаруженная ошибка в безопасности — это случай удаленного выполнения кода с проверкой подлинности, т.е. злоумышленник, прошедший проверку подлинности, может активировать уязвимость через API импорта GitHub.

Об уязвимости стало известно от специалистов yvvdwf, которые сообщили о проблеме в рамках программы Bug bounty.

Команда GitLab настоятельно рекомендует пользователям как можно скорее обновиться до последней версии.

До сих пор неясно, используется ли эта уязвимость в реальных атаках, но для тех, кто по каким-то причинам не может обновить софт GitLab рекомендует отключить функцию импорта GitHub.