0x01 漏洞简述
2022年07月01日,360CERT监测发现GitLab官方发布了GitLab的风险通告,漏洞编号为CVE-2022-2185,漏洞等级:严重,漏洞评分:9.9。
GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。
对此,360CERT建议广大用户及时将GitLab升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该漏洞的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 严重 |
| 影响面 | 广泛 |
| 攻击者价值 | 高 |
| 利用难度 | 低 |
| 360CERT评分 | 9.9 |
0x03 漏洞详情
CVE-2022-2185: GitLab远程代码执行漏洞
CVE: CVE-2022-2185
组件: GitLab
漏洞类型: 代码执行
影响: 服务器接管
简述: 该漏洞存在于GitLab社区版(CE)和企业版(EE)中,授权用户可以导入恶意制作的项目导致远程代码执行。
0x04 影响版本
| 组件 | 影响版本 | 安全版本 |
|---|---|---|
| GitLab CE/EE 14.0版本 | 14.10.5 | |
| GitLab CE/EE 15.0版本 | 15.0.4 | |
| GitLab CE/EE 15.1版本 | 15.1.1 |
0x05 时间线
2022-06-30 Gitlab官方发布通告
2022-07-01 360CERT发布通告
原文始发于微信公众号(FCSQ安全团队):CVE-2022-2185:GitLab 远程代码执行漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论