Sårbarheten, CVE-2022-2884, har fått en CVSS score på 9.9 (KRITISK).

GitLab har gitt ut sikkerhetsoppdateringer den 22.08.22 som fikser sårbarheten [1][2]. GitLab anbefaler på det sterkeste at man oppdaterer til nyeste versjon så snart det lar seg gjøre. Vellykket utnyttelse av sårbarheten lar en uautentisert ekstern angriper å kjøre vilkårlig kode på enheten.

Utnyttelse forutsetter at man kjører en sårbar versjon av GitLab med GitHub import aktivert.

Følgende versjoner av GitLab CE/EE er sårbare:
- - Versjoner fra og med 11.3.4 og før 15.1.5
- - Versjoner fra og med 15.2 og før 15.2.3
- - Versjoner fra og med 15.3 og før 15.3.1

GitLab understreker videre at alle typer deployment er sårbare (omnibus, source code, helm chart, osv.). GitLab har publisert sikkerhetsoppdateringer for alle sårbare versjoner [3], og anbefaler at man oppdatere til nyeste versjon, om det ikke lar seg gjøre anbefaler GitLab at man deaktiverer "Github Import". Dette er beskrevet i [1] og [2].

Anbefalinger:

Oppdater til nyeste versjon av GitLab, dersom umiddelbar oppdatering ikke lar seg gjøre, deaktiver "GitHub Import" som et mitigerende tiltak frem til oppdatering er mulig.


Referanser:
[1] - https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/
[2] - https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-critical-rce-vulnerability/
[3] - https://about.gitlab.com/update/