GitLab修補重大RCE漏洞

開發人員平臺GitLab本周發布安全公告，修補影響社群版及企業版線上平臺的遠端程式碼執行（RCE）漏洞。

GitLab指出，最新漏洞和GitLab Import API有關。Import API讓開發人員可從外部服務如GitHub、Bitbucket Cloud將專案搬到GitLab執行個體。這項編號CVE-2022-2884的漏洞可讓具授權的用戶從GitHub API端點，經Import在GitLab遠端執行程式，風險值達CVSS 9.9。

這項漏洞影響GitLab社群（CE）及企業（EE）包括11.3.4到15.1.5之前版、15.2到15.2.3版本、以及15.3到15.3.1之前版本。本漏洞是由外部研究人員yvvdwf經HackerOne通報。

GitLab已釋出15.1.5、15.2.3及15.3.1版解決漏洞，並呼籲用戶儘速安裝新版。針對無法立即更新的用戶，GitLabs也建議關閉GitHub匯入作為暫時解決辦法。管理員可從「Mena」＞「Admin」>「General」＞「Visibility and access controls」下的「Import source」，選擇「GitHub」。