GitLab修复了CE、EE版本中一个远程代码执行漏洞

admin 2022年8月25日23:56:08安全漏洞评论16 views807字阅读2分41秒阅读模式

近期,Security Affairs 网站披露,DevOps 平台 GitLab 修复了其社区版(CE)和企业版(EE)中出现的一个关键远程代码执行漏洞,该漏洞被追踪为 CVE-2022-2884(CVSS 评分 9.9)。


GitLab修复了CE、EE版本中一个远程代码执行漏洞


据悉,攻击者经过“身份验证”后,可以通过 GitHub 导入 API 利用该漏洞。目前 DevOps 平台 GitLab 已经发布了安全更新,修复了这一影响其 GitLab 社区版(CE)和企业版(EE)的关键远程代码执行漏洞。


GitLabCE/EE 多个版本受到漏洞影响

漏洞爆出不久后,GitLab 运营商在发布的安全公告中表示,GitLab CE/EE 中的漏洞(CVE-2022-2884)主要影响11.3.4——15.1.5之间的所有版本,此外,从 15.2 到 15.2.3 的所有版本和15.3 到 15.3.1 的所有版本也受到严重影响。


值得一提的是,运营商在公告中着重强调,CVE-2022-2884 漏洞允许经过“身份认证”的攻击者从 GitHub 导入 API 端点实现远程代码执行,因此强烈建议所有安装了受漏洞影响版本的用户尽快升级到最新版本。


漏洞是否在野被利用尚不清楚

从媒体披露的信息来看,研究人员 yvvdwf 最早发现了 CVE-2022-2884 漏洞,随后通过 HackerOne 漏洞赏金计划,快速报告了该漏洞。


GitLab修复了CE、EE版本中一个远程代码执行漏洞


鉴于一些用户无法立即升级到最新版本,GitLab 运营商提供了一个解决方法。建议用户以 “管理员 ”身份认证后,从设置菜单的 “可见性和访问控制 ”标签中禁用 GitHub 的导入功能。


最后,安全研究人员声称,目前尚不清楚 CVE-2022-2884 漏洞是否在野外攻击中被积极利用。


参考文章:

https://securityaffairs.co/wordpress/134769/security/gitlab-rce-bug.html

GitLab修复了CE、EE版本中一个远程代码执行漏洞



精彩推荐






GitLab修复了CE、EE版本中一个远程代码执行漏洞

GitLab修复了CE、EE版本中一个远程代码执行漏洞
GitLab修复了CE、EE版本中一个远程代码执行漏洞
GitLab修复了CE、EE版本中一个远程代码执行漏洞

GitLab修复了CE、EE版本中一个远程代码执行漏洞

原文始发于微信公众号(FreeBuf):GitLab修复了CE、EE版本中一个远程代码执行漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月25日23:56:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  GitLab修复了CE、EE版本中一个远程代码执行漏洞 http://cn-sec.com/archives/1254725.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: