PT-2022-4568 · Gitlab · Gitlab Ce/Ee+1
Vakzz
·
Publicado
2022-08-30
·
Atualizado
2025-05-14
·
CVE-2022-2992
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões 11.10 a 15.1.6 do GitLab CE/EE
Versões 15.2 a 15.2.4 do GitLab CE/EE
Versões 15.3 a 15.3.2 do GitLab CE/EE
Descrição
Uma vulnerabilidade no GitLab CE/EE permite que um usuário autenticado execute código remotamente por meio do endpoint da API “Importar do GitHub”. O problema está relacionado à função de importação do GitHub, que está associada à falta de medidas de limpeza de dados no nível de gerenciamento. Isso pode ser explorado por um invasor remoto para executar código arbitrário.
Recomendações
Para as versões 11.10 a 15.1.6 do GitLab CE/EE, atualize para uma versão posterior à 15.1.6.
Para as versões 15.2 a 15.2.4 do GitLab CE/EE, atualize para uma versão posterior à 15.2.4.
Para as versões 15.3 a 15.3.2 do GitLab CE/EE, atualize para uma versão posterior à 15.3.2.
Como solução temporária, considere desativar o endpoint da API “Importar do GitHub” até que um patch esteja disponível.
Exploit
Correção
RCE
Special Elements Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee