В Gitlab обнаружена новая RCE-уязвимость

Разработчики Gitlab опубликовали отчет о закрытии новой RCE-уязвимости, которая временно позволяла хакерам удаленно выполнять произвольный код с помощью Import API. Первым уязвимость обнаружил «баг-хантер», работающий на компанию HackerOne.

Сейчас Gitlab экстренно призывает пользователей обновить версию используемого ПО. В компании позаботились о тех, кто по некоторым причинам не может этого сделать. Эксперты Gitlab рекомендуют в таком случае не использовать функцию импорта веб-сервиса, используя режим администратора. Под угрозой пользователи версий от 11.3.4 до 15.3.1.

В апреле портал Cyber Media сообщал об еще одной критической уязвимости Gitlab, позволяющей хакерам получить доступ к пользовательским учетным записям.