GitLab修復(fù)了CE、EE版本中一個遠程代碼執(zhí)行漏洞
近期,Security Affairs 網(wǎng)站披露,DevOps 平臺 GitLab 修復(fù)了其社區(qū)版(CE)和企業(yè)版(EE)中出現(xiàn)的一個關(guān)鍵遠程代碼執(zhí)行漏洞,該漏洞被追蹤為 CVE-2022-2884(CVSS 評分 9.9)。
據(jù)悉,攻擊者經(jīng)過“身份驗證”后,可以通過 GitHub 導(dǎo)入 API 利用該漏洞。目前 DevOps 平臺 GitLab 已經(jīng)發(fā)布了安全更新,修復(fù)了這一影響其 GitLab 社區(qū)版(CE)和企業(yè)版(EE)的關(guān)鍵遠程代碼執(zhí)行漏洞。
GitLabCE/EE 多個版本受到漏洞影響
漏洞爆出不久后,GitLab 運營商在發(fā)布的安全公告中表示,GitLab CE/EE 中的漏洞(CVE-2022-2884)主要影響11.3.4——15.1.5之間的所有版本,此外,從 15.2 到 15.2.3 的所有版本和15.3 到 15.3.1 的所有版本也受到嚴重影響。
值得一提的是,運營商在公告中著重強調(diào),CVE-2022-2884 漏洞允許經(jīng)過“身份認證”的攻擊者從 GitHub 導(dǎo)入 API 端點實現(xiàn)遠程代碼執(zhí)行,因此強烈建議所有安裝了受漏洞影響版本的用戶盡快升級到最新版本。
漏洞是否在野被利用尚不清楚
從媒體披露的信息來看,研究人員 yvvdwf 最早發(fā)現(xiàn)了 CVE-2022-2884 漏洞,隨后通過 HackerOne 漏洞賞金計劃,快速報告了該漏洞。
鑒于一些用戶無法立即升級到最新版本,GitLab 運營商提供了一個解決方法。建議用戶以 “管理員 ”身份認證后,從設(shè)置菜單的 “可見性和訪問控制 ”標簽中禁用 GitHub 的導(dǎo)入功能。
最后,安全研究人員聲稱,目前尚不清楚 CVE-2022-2884 漏洞是否在野外攻擊中被積極利用。