开发人员平台GitLab本周发布安全公告,修补影响社群版及企业版线上平台的远程程序代码执行(RCE)漏洞。
GitLab指出,最新漏洞和GitLab Import API有关。Import API让开发人员可从外部服务如GitHub、Bitbucket Cloud将项目搬到GitLab执行实例。这项编号CVE-2022-2884的漏洞可让具授权的用户从GitHub API端点,经Import在GitLab远程执行程序,风险值达CVSS 9.9。
这项漏洞影响GitLab社群(CE)及企业(EE)包括11.3.4到15.1.5之前版、15.2到15.2.3版本、以及15.3到15.3.1之前版本。本漏洞是由外部研究人员yvvdwf经HackerOne通报。
GitLab已发布15.1.5、15.2.3及15.3.1版解决漏洞,并呼吁用户尽快安装新版。针对无法立即更新的用户,GitLabs也建议关闭GitHub导入作为暂时解决办法。管理员可从“Mena”>“Admin”“General”>“Visibility and access controls”下的“Import source”,选择“GitHub”。