漏洞預警!!GitLab 曝出遠程代碼執行漏洞

0x01  漏洞簡述

2022 年 7 月 1 日，OSCS 監測到 GitLab 曝出遠程代碼執行漏洞。該漏洞等級較為嚴重，CVE 編號為 CVE-2022-2185。

GitLab 中授權用戶可以導入惡意制作的項目導致遠程代碼執行，攻擊者可利用該漏洞執行任意遠程代碼，OSCS 建議各位開發者關注漏洞風險。

GitLab 是美國 GitLab 公司的一款使用 Ruby on Rails 開發的、自托管的、Git（版本控制系統）項目倉庫應用程序，開發者可通過 Web 界面訪問公開或私人項目。 

0x02  風險等級

360CERT對該漏洞的評定結果如下

評定方式等級威脅等級嚴重影響面廣泛攻擊者價值高利用難度低360CERT評分9.9 

0x03  漏洞詳情

CVE-2022-2185: GitLab遠程代碼執行漏洞

CVE: CVE-2022-2185

組件: GitLab

漏洞類型: 代碼執行

影響: 服務器接管

簡述: 該漏洞存在于GitLab社區版（CE）和企業版（EE）中，授權用戶可以導入惡意制作的項目導致遠程代碼執行。

0x04  影響版本

組件影響版本安全版本GitLab CE/EE <14.0版本14.10.5GitLab CE/EE <15.0版本15.0.4GitLab CE/EE <15.1版本15.1.1 

0x05  修復建議

根據影響版本中的信息，排查并升級到安全版本。 

0x06  產品側解決方案

若想了解更多產品信息或有相關業務需求，可移步至http://360.net。

0x07  時間線

2022-06-30 Gitlab官方發布通告

2022-07-01 360CERT發布通告