【漏洞预警】GitLab 曝出远程代码执行漏洞

admin 2022年7月3日17:18:27安全漏洞评论56 views661字阅读2分12秒阅读模式

1


漏洞描述


2022 年 7 月 1 日,OSCS 监测到 GitLab 曝出远程代码执行漏洞。该漏洞等级较为严重,CVE 编号为 CVE-2022-2185。
GitLab 中授权用户可以导入恶意制作的项目导致远程代码执行,攻击者可利用该漏洞执行任意远程代码,OSCS 建议各位开发者关注漏洞风险。
GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git(版本控制系统)项目仓库应用程序,开发者可通过 Web 界面访问公开或私人项目。

2


风险等级


360CERT对该漏洞的评定结果如下:

评定方式等级威胁等级严重影响面广泛攻击者价值高利用难度低360CERT评分9.9 

3


影响版本


组件影响版本安全版本:GitLab CE/EE <14.0版本14.10.5GitLab CE/EE <15.0版本15.0.4GitLab CE/EE <15.1版本15.1.1


4


漏洞详情


CVE-2022-2185: GitLab远程代码执行漏洞

CVE: CVE-2022-2185

组件: GitLab

漏洞类型: 代码执行

影响: 服务器接管

简述: 该漏洞存在于GitLab社区版(CE)和企业版(EE)中,授权用户可以导入恶意制作的项目导致远程代码执行。


5


修复建议


根据影响版本中的信息,排查并升级到安全版本。

【漏洞预警】GitLab 曝出远程代码执行漏洞

• 往期精选

【漏洞预警】GitLab 曝出远程代码执行漏洞
【漏洞预警】GitLab 曝出远程代码执行漏洞

GoldenEye 靶场渗透测试

CVE-2020-1472漏洞复现

记一次艰难的SQL注入(过安全狗)

干货|sql注入绕WAF的N种姿势

【漏洞预警】GitLab 曝出远程代码执行漏洞

下方点击关注发现更多精彩!

原文始发于微信公众号(银河护卫队super):【漏洞预警】GitLab 曝出远程代码执行漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月3日17:18:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】GitLab 曝出远程代码执行漏洞 http://cn-sec.com/archives/1153913.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: