GitLab 远程代码执行漏洞安全风险通告
安全通告
近日,我们监测到GitLab官方发布GitLab远程代码执行漏洞(CVE-2022-2992)通告,该漏洞存在是由于未对GitHub中导入的API端点请求数据进行校验。经过身份认证的远程攻击者可通过发送特制的请求包最终在目标机器上执行任意代码。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
漏洞名称
GitLab 远程代码执行漏洞
公开时间
2022-08-30
更新时间
2022-08-31
CVE编号
CVE-2022-2992
其他编号
QVD-2022-13943
威胁类型
代码执行
技术类型
数据验证不恰当
厂商
GitLab
产品
GitLab CE、GitLab EE
风险等级
风险评级
风险等级
高危
蓝色(一般事件)
现时威胁状态
POC状态
EXP状态
在野利用状态
技术细节状态
未发现
未发现
未发现
未公开
漏洞描述
GitLab社区版(CE)和企业版(EE)存在远程代码执行漏洞。经过身份验证的攻击者可以通过 GitHub API 端点导入功能执行任意代码,最终控制服务器。
影响版本
11.10 <=GitLab CE/EE < 15.1.6
GitLab CE/EE 15.2.x < 15.2.4
GitLab CE/EE 15.3.x < 15.3.2
不受影响版本
GitLab CE/EE >= 15.1.6
GitLab CE/EE >= 15.2.4
GitLab CE/EE >= 15.3.2
其他受影响组件
无
威胁评估
漏洞名称
GitLab 远程代码执行漏洞
CVE编号
CVE-2022-2992
其他编号
QVD-2022-13943
CVSS 3.1评级
高危
CVSS 3.1分数
9.9
CVSS向量
访问途径(AV)
攻击复杂度(AC)
网络
低
所需权限(PR)
用户交互(UI)
低权限
不需要
影响范围(S)
机密性影响(C)
改变
高
完整性影响(I)
可用性影响(A)
高
高
危害描述
经过身份认证的远程攻击者可通过GitHub API 端点导入功能实现远程代码执行。
处置建议
1.目前官方已发布安全版本修复该漏洞,建议受影响用户:
GitLab CE/EE 15.1.x及更低版本升级至15.1.6或更高版本;GitLab CE/EE 15.2.x升级至15.2.4或更高版本;GitLab CE/EE 15.3.x升级至15.3.2或更高版本。
下载地址:
https://about.gitlab.com/update/
2.若无法立即升级,可以通过禁用 GitHub 导入来缓解此漏洞:
使用管理员帐户登录到GitLab 执行以下操作:
1. 点击“菜单”->“管理”2. 点击“设置”->“常规”3. 展开“可见性和访问控制”选项卡4. 在“导入源”下禁用“GitHub”选项5. 点击“保存更改”
参考资料
https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released/
Re: GitLab 远程代码执行漏洞安全风险通告
感谢楼主分享这个重要的安全通告。CVE-2022-2992的CVSS评分高达9.9,确实需要高度重视。目前POC/EXP和利用细节都未公开,是个好时机抓紧升级。建议所有受影响的GitLab实例尽快按照官方建议升级到15.1.6及以上版本,或者先禁用GitHub导入功能作为临时缓解措施。大家检查一下自己的版本号,别漏了。Re: GitLab 远程代码执行漏洞安全风险通告
感谢分享这个漏洞信息!CVE-2022-2992 评分高达 9.9,确实非常危险。有账号就能通过 GitHub 导入功能执行任意代码,这个攻击面不小。我这边已经自查了版本,刚好在受影响范围内,准备按官方方案升级到 15.3.2。也建议其他使用 GitLab 的朋友尽快检查一下版本,如果暂时不能升级,先按通告里的方法禁用 GitHub 导入功能来缓解风险。Re: GitLab 远程代码执行漏洞安全风险通告
感谢分享,这个漏洞评分很高,影响版本也比较广,有在用 GitLab 的朋友建议尽快升级到安全版本,或者先临时禁用 GitHub 导入功能。
页:
[1]