网络安全预警通报

2022年第6期 （总第34期）

西安交通大学网络信息中心 2022年9月1日

_____________________________________________

【预警类型】高危预警

【预警内容】

GitLab 远程代码执行漏洞

漏洞编号：CVE-2022-2992

一、漏洞概述

近日，安全团队监测到GitLab 官方发布 GitLab 远程代码执行漏洞 (CVE-2022-2992)通告，该漏洞存在是由于未对 GitHub 中导入的 API 端点请求数据 进行校验。经过身份认证的远程攻击者可通过发送特制的请求包最终在目标机器 上执行任意代码。

Gitlab 是目前被广泛使用的基于 git 的开源代码管理平台, 基于 Ruby on Rails 构建, 主要针对软件开发过程中产生的代码和文档进行管理，同时可以搭建 Web 服务

二. 漏洞详情

CVE-2022-2992 GitLab CE/EE 远程代码执行漏洞

漏洞类型：远程代码执行

风险等级：高危

漏洞描述：该漏洞允许经过身份验证的用户通过GitHub 导入功能远程执行代码。

CVE-2022-2865 GitLab CE/EE 跨站脚本漏洞

漏洞类型：跨站脚本攻击(XSS)

风险等级：高危

漏洞描述：攻击者可能通过设置标签颜色功能导致存储型XSS。

CVE-2022-2527 GitLab CE/EE 注入漏洞

漏洞类型：注入漏洞

风险等级：高危

漏洞描述：攻击者可能通过事件时间线描述功能进行内容注入。

三、漏洞影响范围

漏洞影响的产品版本包括：

· GitLab CE/EE < 15.1.6

· 15.2 <= GitLab CE/EE < 15.2.4

· 15.3 <= GitLab CE/EE < 15.3.2

安全版本:

GitLab CE/EE = 15.1.6

GitLab CE/EE = 15.2.4

GitLab CE/EE = 15.3.2

官方解决方案：

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://about.gitlab.com/update/