Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Una vulnerabilità RCE post auth è stata trovata su GitLab

La piattaforma GitLab ha rilasciato una correzione per la vulnerabilità critica RCE CVE-2022-2884 (CVSS 9.9) che interessa GitLab Community Edition (CE) ed Enterprise Edition (EE).

Il difetto consente a un hacker autorizzato di eseguire codice remoto sul dispositivo tramite l’API di Git Lab . Il ricercatore yvvdwf è stato il primo a scoprire la vulnerabilità e l’ha segnalata tramite il programma Bug Bounty di HackerOne.

Secondo l’avviso di GitLab, il bug in GitLab CE/EE interessa le seguenti versioni:

  • dalla 11.3.4 al 15.1.5;
  • dalla 15.2 al 15.2.3;
  • dalla 15.3 al 15.3.1.

GitLab ha esortato gli utenti ad aggiornare le versioni interessate il prima possibile e ha anche fornito una soluzione alternativa per coloro che non sono in grado di aggiornare il firmware. 

Advertisements

La piattaforma consigliava di disabilitare la funzione di importazione di Git Lab nella scheda Visibilità e Controllo accessi del menu Impostazioni dopo l’autenticazione come “amministratore”. 

Al momento non è noto se questa vulnerabilità venga sfruttata in attacchi.