Riasztások

GitLab távoli kódfuttatási sérülékenység javítása

A GitLab új verziót bocsátott ki a CVE-2022-2185 kritikus besorulású (9.9) biztonsági résre válaszul.

A sérülékenységben az alábbi verziók érintettek:

14.0 a 14.10.5-t megelőzően

15.0 a 15.0.4-t megelőzően

15.1 a 15.1.1-t megelőzően

A vállalat közleményében "nyomatékosan javasolja, hogy minden GitLab-telepítést azonnal frissítsenek ezen verziók valamelyikére".

A sérülékenység a GitLab projekt importálásában rejlik, amelyeket kihasználva távoli parancsvégrehajtást lehet elérni.

Bár nem sok további részlet ismert, vita folyik arról, hogy valóban nem hitelesített RCE-ről vagy hitelesített RCE-ről van-e szó. Első pillantásra azonban úgy tűnik, hogy a támadónak hitelesítenie kell magát, és rendelkeznie kell projektimportálási jogosultsággal, hogy kihasználhassa a biztonsági rést.

További információk találhatók az alábbi linkeken: