漏洞描述

近日，亞信安全CERT監(jiān)控到GitLab官方發(fā)布了GitLab遠(yuǎn)程代碼執(zhí)行漏洞風(fēng)險通告，漏洞編號為CVE-2022-2185，漏洞評分為9.9。惡意攻擊者可以通過上傳特殊構(gòu)造的惡意項目，導(dǎo)致系統(tǒng)遠(yuǎn)程代碼執(zhí)行。

目前廠商已發(fā)布安全版本，鑒于該漏洞受影響面較大，亞信安全CERT建議使用GitLab的用戶盡快采取相關(guān)措施，做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

GitLab是美國GitLab Inc.公司開發(fā)的一款開源代碼倉庫管理系統(tǒng)。它使用Git來作為代碼管理工具，同時具備 issus 跟蹤功能，還支持本地化私有部署，可通過Web界面訪問公開或私人項目，極大程度上保障了代碼的內(nèi)部私有化管理。

漏洞編號

• CVE-2022-2185：GitLab遠(yuǎn)程代碼執(zhí)行漏洞

漏洞等級

• CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H, 9.9

• 嚴(yán)重

漏洞狀態(tài)

受影響的版本

• GitLab CE/EE 14.0版本 < 14.10.5

• GitLab CE/EE 15.0版本 < 15.0.4

• GitLab CE/EE 15.1版本 < 15.1.1

修復(fù)建議

• 目前GitLab已經(jīng)發(fā)布最新版本14.10.5、15.0.4、15.1.1。