0x00 漏洞概述
CVE ID | CVE-2022-2185 | 發現時間 | 2022-07-01 |
類 型 | 程式碼執行 | 等 級 | 嚴重 |
遠端利用 | 是 | 影響範圍 | |
攻擊複雜度 | 低 | 使用者互動 | 無 |
PoC/EXP | 在野利用 |
0x01 漏洞詳情
GitLab是一個用於倉庫管理系統的開源項目,其使用Git作為程式碼管理工具,可通過Web界面訪問公開或私人項目。
7月1日,GitLab發佈安全公告,修復了GitLab社區版(CE)和企業版(EE)中的一個遠端程式碼執行漏洞(CVE-2022-2185),該漏洞的CVSS評分為9.9,使得授權使用者可以通過匯入惡意製作的項目實現遠端程式碼執行。
此外,GitLab還修復了GitLab EE中的跨站腳本漏洞(CVE-2022-2235,CVSS評分8.7)和GitLab CE/EE 項目設置頁面中的儲存型跨站腳本漏洞(CVE-2022-2230,CVSS評分8.1),前者可能導致在觸發時執行惡意操作,後者可能導致以受害者的名義在GitLab中執行任意JavaScript程式碼。
影響範圍
CVE-2022-2185:
GitLab CE/EE 14.0版本:< 14.10.5
GitLab CE/EE 15.0版本:< 15.0.4
GitLab CE/EE 15.1版本:< 15.1.1
CVE-2022-2235:
GitLab EE 14.5版本:< 14.10.5
GitLab EE 15.0版本:< 15.0.4
GitLab EE 15.1版本:< 15.1.1
CVE-2022-2230:
GitLab CE/EE 14.4版本:< 14.10.5
GitLab CE/EE 15.0版本:< 15.0.4
GitLab CE/EE 15.1版本:< 15.1.1
0x02 安全建議
目前上述漏洞已經修復,受影響使用者可以升級到以下版本:
GitLab CE/EE 14.10.5
GitLab CE/EE 15.0.4
GitLab CE/EE 15.1.1
下載連結:
https://about.gitlab.com/update/
0x03 參考連結
https://about.gitlab.com/releases/2022/06/30/critical-security-release-gitlab-15-1-1-released/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2185
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2022-07-01 | 首次發佈 |