GitLab修复了CE、修复EE版本中一个远程代码执行漏洞

作者：james_23 2022-08-25 06:49:49安全 数据安全 近期，版本Security Affairs 网站披露，中个执行DevOps 平台 GitLab 修复了其社区版（CE）和企业版（EE）中出现的远程一个关键远程代码执行漏洞，该漏洞被追踪为 CVE-2022-2884（CVSS 评分 9.9）。代码

近期，漏洞Security Affairs 网站披露，修复DevOps 平台 GitLab 修复了其社区版（CE）和企业版（EE）中出现的版本一个关键远程代码执行漏洞，该漏洞被追踪为 CVE-2022-2884（CVSS 评分 9.9）。中个执行

据悉，攻击者经过“身份验证”后，代码可以通过 GitHub 导入 API 利用该漏洞。漏洞目前 DevOps 平台 GitLab 已经发布了安全更新，修复修复了这一影响其 GitLab 社区版（CE）和企业版（EE）的版本关键远程代码执行漏洞。

GitLabCE/EE 多个版本受到漏洞影响

漏洞爆出不久后，中个执行GitLab 运营商在发布的安全公告中表示，GitLab CE/EE 中的漏洞（CVE-2022-2884）主要影响11.3.4——15.1.5之间的所有版本，此外，从 15.2 到 15.2.3 的所有版本和15.3 到 15.3.1 的所有版本也受到严重影响。

值得一提的是，运营商在公告中着重强调，CVE-2022-2884 漏洞允许经过“身份认证”的攻击者从 GitHub 导入 API 端点实现远程代码执行，因此强烈建议所有安装了受漏洞影响版本的用户尽快升级到最新版本。

漏洞是否在野被利用尚不清楚

从媒体披露的信息来看，研究人员 yvvdwf 最早发现了 CVE-2022-2884 漏洞，随后通过 HackerOne 漏洞赏金计划，快速报告了该漏洞。

鉴于一些用户无法立即升级到最新版本，GitLab 运营商提供了一个解决方法。建议用户以 “管理员 ”身份认证后，从设置菜单的 “可见性和访问控制 ”标签中禁用 GitHub 的导入功能。

最后，安全研究人员声称，目前尚不清楚 CVE-2022-2884 漏洞是否在野外攻击中被积极利用。

责任编辑：未丽燕 来源： FreeBuf.com GitLab漏洞修复

(责任编辑：热点)