GitLab修复了CE、EE版本中一个远程代码执行漏洞

近期，SecurityAffairs网站披露，DevOps平台GitLab修复了其社区版（CE）和企业版（EE）中出现的一个关键远程代码执行漏洞，该漏洞被追踪为CVE-2022-2884（CVSS评分9.9）。 据悉，攻击者经过“身份验证”后，可以通过GitHub导入API利用该漏洞。目前 DevOps平台GitLab已经发布了安全更新，修复了这一影响其GitLab社区版（CE）和企业版（EE）的关键远程代码执行漏洞。

GitLabCE/EE 多个版本受到漏洞影响

漏洞爆出不久后，GitLab运营商在发布的安全公告中表示，GitLab CE/EE中的漏洞（CVE-2022-2884）主要影响11.3.4——15.1.5之间的所有版本，此外，从 15.2 到 15.2.3 的所有版本和15.3 到 15.3.1 的所有版本也受到严重影响。 值得一提的是，运营商在公告中着重强调，CVE-2022-2884漏洞允许经过“身份认证”的攻击者从GitHub导入API端点实现远程代码执行，因此强烈建议所有安装了受漏洞影响版本的用户尽快升级到最新版本。

漏洞是否在野被利用尚不清楚

从媒体披露的信息来看，研究人员 yvvdwf 最早发现了 CVE-2022-2884 漏洞，随后通过 HackerOne 漏洞赏金计划，快速报告了该漏洞。 鉴于一些用户无法立即升级到最新版本，GitLab运营商提供了一个解决方法。建议用户以 “管理员 ”身份认证后，从设置菜单的 “可见性和访问控制 ”标签中禁用GitHub的导入功能。 最后，安全研究人员声称，目前尚不清楚CVE-2022-2884漏洞是否在野外攻击中被积极利用。