【漏洞通告】GitLab 遠端程式碼執行漏洞(CVE-2022-2185)

0x00 漏洞概述

CVE IDCVE-2022-2185發現時間2022-07-01
類 型程式碼執行等 級嚴重
遠端利用影響範圍
攻擊複雜度使用者互動
PoC/EXP在野利用

0x01 漏洞詳情

GitLab是一個用於倉庫管理系統的開源項目,其使用Git作為程式碼管理工具,可通過Web界面訪問公開或私人項目。

7月1日,GitLab發佈安全公告,修復了GitLab社區版(CE)和企業版(EE)中的一個遠端程式碼執行漏洞(CVE-2022-2185),該漏洞的CVSS評分為9.9,使得授權使用者可以通過匯入惡意製作的項目實現遠端程式碼執行。

此外,GitLab還修復了GitLab EE中的跨站腳本漏洞(CVE-2022-2235,CVSS評分8.7)和GitLab CE/EE 項目設置頁面中的儲存型跨站腳本漏洞(CVE-2022-2230,CVSS評分8.1),前者可能導致在觸發時執行惡意操作,後者可能導致以受害者的名義在GitLab中執行任意JavaScript程式碼。

影響範圍

CVE-2022-2185:

GitLab CE/EE 14.0版本:< 14.10.5

GitLab CE/EE 15.0版本:< 15.0.4

GitLab CE/EE 15.1版本:< 15.1.1

CVE-2022-2235:

GitLab EE 14.5版本:< 14.10.5

GitLab EE 15.0版本:< 15.0.4

GitLab EE 15.1版本:< 15.1.1

CVE-2022-2230:

GitLab CE/EE 14.4版本:< 14.10.5

GitLab CE/EE 15.0版本:< 15.0.4

GitLab CE/EE 15.1版本:< 15.1.1

0x02 安全建議

目前上述漏洞已經修復,受影響使用者可以升級到以下版本:

GitLab CE/EE 14.10.5

GitLab CE/EE 15.0.4

GitLab CE/EE 15.1.1

下載連結:

https://about.gitlab.com/update/

0x03 參考連結

https://about.gitlab.com/releases/2022/06/30/critical-security-release-gitlab-15-1-1-released/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2185

0x04 版本資訊

版本日期修改內容
V1.02022-07-01首次發佈

相關文章

CNNVD通報Oracle多個安全漏洞

CNNVD通報Oracle多個安全漏洞

近日,CNNVD通報Oracle多個安全漏洞,其中Oracle產品本身漏洞60個,影響到Oracle產品的其他廠商漏洞247個。包括Orac...

CNNVD 通報微軟多個安全漏洞

CNNVD 通報微軟多個安全漏洞

近日,CNNVD(國家資訊安全漏洞庫)正式通報微軟多個安全漏洞,其中微軟產品本身漏洞77個,影響到微軟產品的其他廠商漏洞8個。包括Micro...