даже не знаю, с чего начать, все такое вкусное.

во-первых, очередное стопятьсотое последнее китайское напоминание - не суй в eval() нечищеный ввод от пользователя.

во-вторых, настройки этого гитлаб комбайна по умолчанию доставляют:

A few months ago one of our customers found two suspicious user accounts with admin rights on its Internet-exposed GitLab CE server, and asked us to investigate what it looked like a security incident. Here’s what we found:

1) Between June and July 2021, two users were registered with random-looking usernames.

This was possible because this version of GitLab CE permits user registration by default. Moreover, the email address specified during the registration phase isn’t verified by default, thus the newly created user is automatically logged on without any further steps. In addition, no notifications are sent to the administrators.

прикольно, когда такое счастье торчит голым восьмидесятым портом в интернеты, да?

там, наверное, етот олень^Wкастомер еще и админский пароль adminadmin не поменял.

третье,

патч для этой дыры был доступен с апреля,

CVE опубликована в мае,

експлоет для дыры доступен на гитхабе с июня,

гитлабовское сесурити раздупляется постом "Action needed" в ноябре, когда уже новость о ботнете из гитлаб инсталляций на первой странице HN засветилась.

30 тысяч аленей^Wадминов етих гитлабов не знают про дыру до сих пор, и им норм. кто вообще читает ети устаревшие рассылки ети релиз нотесы с от такими большими буквами "GitLab Critical Security Release", только такие старые пердуны, как я.

/rant