【高危安全通告】Gitlab 硬编码漏洞

admin 2022年4月7日21:01:57安全漏洞评论36 views821字阅读2分44秒阅读模式

↑ 点击上方 关注我们


近日,安全狗应急响应中心监测到Gitlab官方发布安全通告,披露了其Gitlab产品存在硬编码漏洞。漏洞编号CVE-2022-1162。


漏洞描述

GitLab 是一个用于代码仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务。

 

据官方描述,系统会默认给使用了 OmniAuth 程序(例如 OAuth、LDAP、SAML)注册的帐户设置一个硬编码密码,从而允许攻击者可直接通过该硬编码密码登录并接管帐户。

安全通告信息

漏洞名称

Gitlab 硬编码漏洞

漏洞影响版本

Gitlab CE/EE >=14.7, <14.7.7

Gitlab CE/EE >=14.8, <14.8.5

Gitlab CE/EE >=14.9, <14.9.2

漏洞危害等级

高危

厂商是否已发布漏洞补丁

版本更新地址

https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1162.json

安全狗总预警期数

216

安全狗发布预警日期

202247

安全狗更新预警日期

202247

发布者

安全狗海青实验室


处置措施

安全建议

目前这些漏洞已经修复,可及时升级到安全版本。


【备注】:建议您在升级前做好数据备份工作,避免出现意外

 

参考连接

https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/#static-passwords-inadvertently-set-during-omniauth-based-registration

https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1162.json




原文始发于微信公众号(海青安全研究实验室):【高危安全通告】Gitlab 硬编码漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月7日21:01:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【高危安全通告】Gitlab 硬编码漏洞 http://cn-sec.com/archives/887401.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: