背景:
GitLab官方发布了安全公告,修复了GitLab社区版(CE)和企业版(EE)中的一个远程代码执行漏洞(CVE-2022-2884)该漏洞允许经过身份验证的用户通过从GitHub API端点导入方式实现远程代码执行,成功利用此漏洞的攻击者可获得服务器权限。
受影响版本:
GitLab CE/EE 15.3 版本:< 15.3.1
GitLab CE/EE 15.2 版本:< 15.2.3
GitLab CE/EE 15.1 版本:< 15.1.5
漏洞利用:
目前漏洞细节和测试代码暂未公开,但恶意攻击者可以通过补丁对比分析出漏洞触发点,建议受影响用户及时更新安全补丁。
修复建议:
官方已发布安全版本,建议升级至安全版本。
https://about.gitlab.com/update/
https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/gitlab-devops-platform-rce-vulnerability.html
