漏洞描述

近日，亞信安全CERT監(jiān)測(cè)到GitLab發(fā)布安全更新通告，修復(fù)了GitLab中的多個(gè)安全漏洞，其中包含GitLab中的一個(gè)遠(yuǎn)程命令執(zhí)行漏洞（CVE-2022-2992）。該漏洞允許經(jīng)過(guò)身份驗(yàn)證的用戶(hù)通過(guò)GitHub API端點(diǎn)導(dǎo)入功能實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

對(duì)此，目前廠商已發(fā)布安全版本，鑒于該漏洞受影響面較大，亞信安全CERT建議使用GitLab的用戶(hù)盡快采取相關(guān)措施，做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

GitLab是美國(guó)GitLab Inc.公司開(kāi)發(fā)的一款開(kāi)源代碼倉(cāng)庫(kù)管理系統(tǒng)。它使用Git來(lái)作為代碼管理工具，同時(shí)具備issus跟蹤功能，還支持本地化私有部署，可通過(guò)Web界面訪(fǎng)問(wèn)公開(kāi)或私人項(xiàng)目，極大程度上保障了代碼的內(nèi)部私有化管理。

漏洞編號(hào)及評(píng)分

· CVE-2022-2992

· CVSS V3：AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H, 9.9 嚴(yán)重

修復(fù)建議

目前官方已發(fā)布安全版本以修復(fù)此安全問(wèn)題，建議用戶(hù)更新至最新版本GitLab社區(qū)版（CE）和企業(yè)版（EE）的15.3.2、15.2.4和15.1.6以緩解潛在威脅。

· 更新GitLab地址

· 更新Gitlab Runner地址 #網(wǎng)絡(luò)安全#

漏洞狀態(tài)

漏洞細(xì)節(jié)：未公開(kāi)

PoC：未公開(kāi)

EXP：未公開(kāi)

在野利用：未知

受影響的版本

11.10 <= GitLab Community Edition <15.1.6

15.2 <= GitLab Community Edition <15.2.4

15.3 <= GitLab Community Edition <15.3.2

11.10 <= GitLab Enterprise Edition <15.1.6

15.2 <= GitLab Enterprise Edition <15.2.4

15.3 <= GitLab Enterprise Edition <15.3.2