安全通告-GitLab远程命令执行漏洞风险提示(CVE-2022-2884)
发布时间:2022-08-23
阅读次数:14851
一、 漏洞公告
近日,监测到GitLab CE/EE 中存在GitLab 远程命令执行漏洞(CVE-2022-2884),该漏洞影响从11.3.4开始到15.1.5之前的所有版本、从15.2开始到15.2.3之前的所有版本,以及从15.3开始到15.3.1之前的所有版本,允许经过身份验证的用户通过从GitHub API端点导入实现远程代码执行。官方已发布新版本修复了此漏洞,建议受影响用户及时升级更新到安全版本。
参考链接: https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/
二、影响范围
受影响版本:
11.3.4 <= GitLab CE/EE < 15.1.5
15.2 <= GitLab CE/EE < 15.2.3
15.3 <= GitLab CE/EE < 15.3.1
安全版本:
GitLab CE/EE = 15.1.5
GitLab CE/EE = 15.2.3
GitLab CE/EE = 15.3.1
三、漏洞描述
GitLab Community Edition和GitLab Enterprise Edition中的远程命令执行漏洞(CVE-2022-2884): 该漏洞允许经过身份验证的用户通过GitHub API端点导入功能,实现远程命令执行。
四、缓解措施
处置建议:
1. 厂商已发布补丁修复漏洞,请用户尽快更新至以下安全版本之一:
15.1.5、15.2.3、15.3.1
https://about.gitlab.com/update/
2. 与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
来源:GitLab官网
/
网络安全