開發人員平臺GitLab本周發布安全公告,修補影響社群版及企業版線上平臺的遠端程式碼執行(RCE)漏洞。
GitLab指出,最新漏洞和GitLab Import API有關。Import API讓開發人員可從外部服務如GitHub、Bitbucket Cloud將專案搬到GitLab執行個體。這項編號CVE-2022-2884的漏洞可讓具授權的用戶從GitHub API端點,經Import在GitLab遠端執行程式,風險值達CVSS 9.9。
這項漏洞影響GitLab社群(CE)及企業(EE)包括11.3.4到15.1.5之前版、15.2到15.2.3版本、以及15.3到15.3.1之前版本。本漏洞是由外部研究人員yvvdwf經HackerOne通報。
GitLab已釋出15.1.5、15.2.3及15.3.1版解決漏洞,並呼籲用戶儘速安裝新版。針對無法立即更新的用戶,GitLabs也建議關閉GitHub匯入作為暫時解決辦法。管理員可從「Mena」>「Admin」>「General」>「Visibility and access controls」下的「Import source」,選擇「GitHub」。
熱門新聞
2024-12-08
2024-12-08
2024-12-08
2024-11-29
Advertisement