查看: 11672|回复: 1

GitLab 远程代码执行漏洞安全风险通告

[复制链接]
匿名
匿名  发表于 2022-9-1 17:48:32 |阅读模式

安全通告

近日,我们监测到GitLab官方发布GitLab远程代码执行漏洞(CVE-2022-2992)通告,该漏洞存在是由于未对GitHub中导入的API端点请求数据进行校验。经过身份认证的远程攻击者可通过发送特制的请求包最终在目标机器上执行任意代码。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。

漏洞名称

GitLab 远程代码执行漏洞

公开时间

2022-08-30

更新时间

2022-08-31

CVE编号

CVE-2022-2992

其他编号

QVD-2022-13943

威胁类型

代码执行

技术类型

数据验证不恰当

厂商

GitLab

产品

GitLab CE、GitLab EE

风险等级

风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

未发现

未公开

漏洞描述

GitLab社区版(CE)和企业版(EE)存在远程代码执行漏洞。经过身份验证的攻击者可以通过 GitHub API 端点导入功能执行任意代码,最终控制服务器。

影响版本

11.10 <=  GitLab CE/EE < 15.1.6
GitLab CE/EE 15.2.x < 15.2.4
GitLab CE/EE 15.3.x < 15.3.2

不受影响版本

GitLab CE/EE >= 15.1.6

GitLab CE/EE >= 15.2.4

GitLab CE/EE >= 15.3.2

其他受影响组件





威胁评估

漏洞名称

GitLab 远程代码执行漏洞

CVE编号

CVE-2022-2992

其他编号

QVD-2022-13943

CVSS 3.1评级

高危

CVSS 3.1分数

9.9

CVSS向量

访问途径(AV)

攻击复杂度(AC)

网络



所需权限(PR)

用户交互(UI)

低权限

不需要

影响范围(S)

机密性影响(C)

改变



完整性影响(I)

可用性影响(A)





危害描述

经过身份认证的远程攻击者可通过GitHub API 端点导入功能实现远程代码执行。


处置建议

1.目前官方已发布安全版本修复该漏洞,建议受影响用户:

GitLab CE/EE 15.1.x及更低版本升级至15.1.6或更高版本;GitLab CE/EE 15.2.x升级至15.2.4或更高版本;GitLab CE/EE 15.3.x升级至15.3.2或更高版本。
下载地址:

https://about.gitlab.com/update/

2.若无法立即升级,可以通过禁用 GitHub 导入来缓解此漏洞:

使用管理员帐户登录到GitLab 执行以下操作:
1. 点击“菜单”->“管理”2. 点击“设置”->“常规”3. 展开“可见性和访问控制”选项卡4. 在“导入源”下禁用“GitHub”选项5. 点击“保存更改”

参考资料

https://about.gitlab.com/release ... ab-15-3-2-released/

qw1.jpg
回复

使用道具 举报

头像被屏蔽
  • TA的每日心情
    无聊
    2022-11-29 08:07
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2022-11-29 08:24:19 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-22 19:06 , Processed in 0.019605 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部