【漏洞预警】GitLab 远程代码执行漏洞(CVE-2022-2185)安全风险通告

admin
admin
admin
138635
文章
114
评论
2022年7月2日14:04:30【漏洞预警】GitLab 远程代码执行漏洞(CVE-2022-2185)安全风险通告已关闭评论88 views字数 792阅读2分38秒阅读模式
图片


 前言

GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务。授权用户可以导入恶意制作的项目导致远程代码执行。


漏洞名称:

GitLab 远程代码执行漏洞

影响范围:

GitLab CE/EE 14.0版本 < 14.10.5

GitLab CE/EE 15.0版本 < 15.0.4

GitLab CE/EE 15.1版本< 15.1.1

漏洞编号:

CVE-2022-2185

漏洞类型:

远程代码执行

利用条件:

需要授权用户

综合评价:

<利用难度>:低

<威胁等级>:高危 


#1 漏洞描述

HackerOne 漏洞赏金计划报告了此漏洞,在 GitLab CE/EE中发现了一个严重问题,影响从 14.0.5 之前的 14.0、15.0.4 之前的 15.0 和 15.1.1 之前的 15.1 开始的所有版本,授权用户可以导入恶意制作的项目导致远程代码执行。


#2 解决方案

目前Gitlab官方已发布此漏洞修复版本,建议用户尽快升级。
https://docs.gitlab.com/runner/install/linux-repository.html#updating-the-runner


#3 参考资料

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2185
https://about.gitlab.com/releases/2022/06/30/critical-security-release-gitlab-15-1-1-released/#remote-command-execution-via-project-imports

图片
推 荐 阅 读







【网络安全】电力智能安全运营解决方案


【燃烧吧!天才程序员】——看ATEC科技精英如何破解网络诈骗


【漏洞预警】Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)安全风险通告


图片

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月2日14:04:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】GitLab 远程代码执行漏洞(CVE-2022-2185)安全风险通告https://cn-sec.com/archives/1150731.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.