PT-2022-4651 · Gitlab · Gitlab
Vakzz
·
Publicado
2022-06-23
·
Atualizado
2024-03-21
·
CVE-2022-2185
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do GitLab 14.0 a 14.10.5
Versões do GitLab 15.0 a 15.0.4
Versões do GitLab 15.1 a 15.1.1
Descrição
O problema está relacionado à atribuição incorreta de permissões para um recurso crítico no GitLab, permitindo que um usuário autenticado e autorizado a importar projetos importe um projeto criado de forma maliciosa. Isso pode levar à execução remota de código. O problema está associado à função Importação de Projetos no GitLab.
Recomendações
Para as versões 14.0 a 14.10.5 do GitLab, atualize para a versão 14.10.5 ou posterior.
Para as versões 15.0 a 15.0.4 do GitLab, atualize para a versão 15.0.4 ou posterior.
Para as versões 15.1 a 15.1.1 do GitLab, atualize para a versão 15.1.1 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao recurso de importação de projetos até que um patch seja aplicado.
Exploit
Correção
RCE
Incorrect Permission
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gitlab