【漏洞预警】GitLab 远程代码执行漏洞(CVE-2022-2185)安全风险通告

2022年7月2日14:04:30已关闭评论53 views字数 792阅读2分38秒阅读模式

前言

GitLab 是一个用于仓库管理系统的开源项目，使用Git作为代码管理工具，并在此基础上搭建起来的Web服务。授权用户可以导入恶意制作的项目导致远程代码执行。

漏洞名称：

GitLab 远程代码执行漏洞

影响范围：

GitLab CE/EE 14.0版本 < 14.10.5

GitLab CE/EE 15.0版本 < 15.0.4

GitLab CE/EE 15.1版本< 15.1.1

漏洞编号：

CVE-2022-2185

漏洞类型：

远程代码执行

利用条件：

需要授权用户

综合评价：

<利用难度>：低

<威胁等级>：高危

#1 漏洞描述

HackerOne 漏洞赏金计划报告了此漏洞，在 GitLab CE/EE中发现了一个严重问题，影响从 14.0.5 之前的 14.0、15.0.4 之前的 15.0 和 15.1.1 之前的 15.1 开始的所有版本，授权用户可以导入恶意制作的项目导致远程代码执行。

#2 解决方案

目前Gitlab官方已发布此漏洞修复版本，建议用户尽快升级。

https://docs.gitlab.com/runner/install/linux-repository.html#updating-the-runner

#3 参考资料

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2185

https://about.gitlab.com/releases/2022/06/30/critical-security-release-gitlab-15-1-1-released/#remote-command-execution-via-project-imports

推荐阅读

【网络安全】电力智能安全运营解决方案

CVE-2024-27956 WordPress Automatic SQL注入漏洞可添加后台账号