Loading [MathJax]/jax/output/CommonHTML/config.js

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

社区首页 >专栏 >【安全漏洞】GitLab远程代码执行漏洞

【安全漏洞】GitLab远程代码执行漏洞

原创

运维朱工

发布于 2022-08-29 13:09:09

发布于 2022-08-29 13:09:09

1.3K0

举报

文章被收录于专栏：云计算教程云计算教程

漏洞概述

漏洞编号：CVE-2022-2884

漏洞威胁等级：高危

漏洞详情

GitLab是一个用于仓库管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。

8月22日，GitLab发布安全公告，修复了GitLab社区版（CE）和企业版（EE）中的一个远程代码执行漏洞（CVE-2022-2884），该漏洞的CVSS评分为9.9，这个安全漏洞是一个可通过GitHub导入API触发经过身份验证的远程代码执行的案例。成功利用该严重漏洞会让恶意行为者在目标机器上运行恶意代码，植入恶意软件和后门，并完全控制易受攻击的设备。

影响范围

11.3.4 <= GitLab CE/EE < 15.1.5
15.2 <= GitLab CE/EE < 15.2.3
15.3 <= GitLab CE/EE < 15.3.1

修复建议

临时修复

通过暂时禁用GitHub导入选项来防范这个漏洞。

点击 “Menu”->“Admin”

点击“Settings”->“General”

展开“Visibility and access controls”标签

在“Import sources”下，禁用“GitHub”选项

点击“Save changes”。

最佳实践

可升级到GitLab 15.3.1、15.2.3、15.1.5或更高版本。

下载链接：https://about.gitlab.com/update/

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

评论

登录后参与评论

暂无评论

编辑精选文章

换一批

万字详解高可用架构设计

Go 开发者必备：Protocol Buffers 入门指南

10分钟带你彻底搞懂分布式链路跟踪

GitLab修复了CE、EE版本中一个远程代码执行漏洞

网站企业安全 gitlab 漏洞

近期，Security Affairs 网站披露，DevOps 平台 GitLab 修复了其社区版（CE）和企业版（EE）中出现的一个关键远程代码执行漏洞，该漏洞被追踪为 CVE-2022-2884（CVSS 评分 9.9）。据悉，攻击者经过“身份验证”后，可以通过 GitHub 导入 API 利用该漏洞。目前 DevOps 平台 GitLab 已经发布了安全更新，修复了这一影响其 GitLab 社区版（CE）和企业版（EE）的关键远程代码执行漏洞。 GitLabCE/EE 多个版本受到漏洞影响漏洞爆

FB客服

2023/03/30

5210

GitLab修复了CE、EE版本中一个远程代码执行漏洞

【威胁通告】GitLab EE/CE 信息泄露漏洞（CVE-2020-6832）威胁通告

安全 git https 网络安全

北京时间1月14号，GitLab官方发布了一则重要版本更新的安全通告，修复了一个可能导致私有项目信息泄露的漏洞（CVE-2020-6832）。GitLab是一个用于仓库管理系统的开源项目，使用Git作为代码管理工具，并在此基础上搭建起来的web服务。

绿盟科技安全情报

2020/02/13

9620

【威胁通告】GitLab EE/CE 信息泄露漏洞（CVE-2020-6832）威胁通告

CVE-2024-0199｜GitLab 身份验证绕过漏洞

身份验证开源 gitlab 管理漏洞

GitLab 是一个用于仓库管理系统的开源项目，使用Git作为代码管理工具，并在此基础上搭建起来的Web服务。

信安百科

2024/03/22

1.4K0

CVE-2024-0199｜GitLab 身份验证绕过漏洞

CVE-2021-22214：Gitlab API未授权SSRF复现

网络安全安全 yum git 网站

GitLab是由GitLabInc.开发，使用MIT许可证的基于网络的Git仓库管理工具，具有issue跟踪功能。它使用Git作为代码管理工具，并在此基础上搭建起来的web服务。

Timeline Sec

2021/07/23

4K0

CVE-2021-22214：Gitlab API未授权SSRF复现

GitLab爆出安全漏洞，允许黑客接管账户

gitlab 遍历漏洞黑客安全漏洞

GitLab ：一个基于网络的 Git 存储库，主要面向需要远程管理代码的开发团队，目前共拥有约 3000 万注册用户和 100 万付费客户。

FB客服

2024/05/28

1.4K0

GitLab爆出安全漏洞，允许黑客接管账户

腾讯云容器安全服务（TCSS）捕获利用GitLab ExifTool RCE漏洞在野攻击案例

容器安全 https 网络安全

腾讯云容器安全服务（TCSS）捕获GitLab ExifTool RCE漏洞（CVE-2021-22205）在公有云的在野攻击案例，漏洞利用导致业务容器内被植入后门程序。攻击者利用漏洞攻击后，企业业务容器会被植入门罗币挖矿程序、后门程序、或其他木马。漏洞编号：CVE-2021-22205 漏洞等级：严重，初始CVSS评分：9.9。之后在 2021 年 9 月 21 日，GitLab官方将 CVSS评分修改为最高的 10.0。漏洞影响版本： 11.9.0 <= Gitlab CE/EE <

腾讯云原生

2021/11/19

1K0

2022-02微软漏洞通告

安全漏洞网络安全零信任安全管理系统

微软官方发布了2022年02月的安全更新。本月更新公布了70个漏洞，包含17个特权提升漏洞、16个远程执行代码漏洞、6个信息泄露漏洞、5个拒绝服务漏洞、3个身份假冒漏洞、3个安全功能绕过漏洞以及1个篡改漏洞，其中50个漏洞级别为“Important”（严重）。建议用户及时使用火绒安全软件（个人/企业）【漏洞修复】功能更新补丁。

火绒安全

2022/02/10

3680

【漏洞通告】GitLab 远程代码执行漏洞

安全 git https markdown 网络安全

3月18日，绿盟科技监测到GitLab官方发布安全通告，修复了存在于社区版(CE)和企业版(EE)中的代码执行漏洞，CVSS评分为9.9。未授权但经过身份验证的攻击者通过利用可控的markdown渲染选项，构造恶意请求从而在服务器上执行任意代码。

绿盟科技安全情报

2021/04/07

8780

腾讯安全威胁情报中心推出2024年9月必修安全漏洞清单

安全安全漏洞管理漏洞腾讯

所谓必修漏洞，就是运维人员必须修复、不可拖延、影响范围较广的漏洞，被黑客利用并发生入侵事件后，会造成十分严重的后果。

安全攻防团队

2024/10/21

3141

腾讯安全威胁情报中心推出2024年9月必修安全漏洞清单

2022-07微软漏洞通告

微软官方发布了2022年07月的安全更新。本月更新公布了86个漏洞，包含52个特权提升漏洞、12个远程执行代码漏洞、11个信息泄露漏洞、5个拒绝服务漏洞、4个安全功能绕过漏洞以及2个篡改漏洞，其中4个漏洞级别为“Critical”（高危），80个为“Important”（严重）。建议用户及时使用火绒安全软件（个人/企业）【漏洞修复】功能更新补丁。

火绒安全

2022/07/13

3200

【威胁通告】Gitlab EE多个高危漏洞威胁通告

安全网络安全 https git

当地时间2019年12月10日，GitLab官方发布了重要版本更新的通告，公布了三个GitLab EE（企业版）的高危漏洞。GitLab是一个用于仓库管理系统的开源项目，使用Git作为代码管理工具，并在此基础上搭建起来的web服务。

绿盟科技安全情报

2019/12/18

8750

FreeBuf周报 | 苹果曝严重安全漏洞喜提热搜第一；LockBit 团伙遭受 DDoS 攻击

安全安全漏洞工具漏洞苹果

各位Buffer周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！热点资讯 1、DEF CON 大会：白帽黑客演示远程控制退役卫星 8 月 20 日的 DEF CON 黑客大会上，白帽黑客组织 Shadyte l现场演示远程劫持一颗退役卫星，并利用它来播放电影。 2、苹果曝严重安全漏洞，喜提热搜第一据媒体报道，苹果公司在周三（8 月 17 日）发布了两份安全报告，承认公司的智能手机 iPhone、平板电脑 i

FB客服

2023/03/30

4310

FreeBuf周报 | 苹果曝严重安全漏洞喜提热搜第一；LockBit 团伙遭受 DDoS 攻击

2022-08微软漏洞通告

安全漏洞漏洞扫描服务数据安全

微软官方发布了2022年08月的安全更新。本月更新公布了141个漏洞，包含65个特权提升漏洞、32个远程执行代码漏洞、12个信息泄露漏洞、7个拒绝服务漏洞、7个安全功能绕过漏洞以及1个身份假冒漏洞，其中17个漏洞级别为“Critical”（高危），105个为“Important”（严重）。建议用户及时使用火绒安全软件（个人/企业）【漏洞修复】功能更新补丁。

火绒安全

2022/08/11

5150

GitLab 远程命令执行漏洞复现(CVE-2021-22205)

https 安全 git 容器镜像服务网络安全

GitLab 没有正确验证传递给文件解析器的图像文件，这导致远程命令执行，可执行系统命令。这是一个严重的问题。它现在在最新版本中得到缓解，漏洞编号CVE-2021-22205。

亿人安全

2022/06/30

7.6K1

GitLab 远程命令执行漏洞复现(CVE-2021-22205)

GitHub 发现 ruby-saml 严重漏洞，账户安全岌岌可危

ruby github 黑客网络安全安全漏洞

开源的 ruby - saml 库中，近日披露了两个极为严重的安全漏洞。这两个漏洞等级颇高，可能会让恶意攻击者有机可乘，绕过安全断言标记语言（SAML）的身份验证保护机制。

星尘安全

2025/03/20

1730

GitHub 发现 ruby-saml 严重漏洞，账户安全岌岌可危

2022-10微软漏洞通告

windows 网络安全安全 DevOps 解决方案

微软官方发布了2022年10月的安全更新。本月更新公布了96个漏洞，包含39个特权提升漏洞、20个远程执行代码漏洞、11个信息泄露漏洞、8个拒绝服务漏洞、5个身份假冒漏洞以及2个安全功能绕过漏洞，其中13个漏洞级别为“Critical”（高危），71个为“Important”（严重）。建议用户及时使用火绒安全软件（个人/企业）【漏洞修复】功能更新补丁。

火绒安全

2022/10/17

4380

2022-05微软漏洞通告

安全漏洞零信任安全管理系统网络安全

微软官方发布了2022年05月的安全更新。本月更新公布了75个漏洞，包含26个远程执行代码漏洞、21个特权提升漏洞、17个信息泄露漏洞、6个拒绝服务漏洞、4个功能绕过以及1个身份假冒漏洞，其中8个漏洞级别为“Critical”（高危），66个为“Important”（严重）。建议用户及时使用火绒安全软件（个人/企业）【漏洞修复】功能更新补丁。

火绒安全

2022/05/12

5860

CVE-2023-7028｜GitLab任意用户密码重置漏洞

gitlab 公众号管理漏洞开源

Gitlab是被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理, Gitlab主要针对group和project两个维度进行代码和文档管理。

信安百科

2024/01/15

4890

CVE-2023-7028｜GitLab任意用户密码重置漏洞

安全通告 | Windows DNS服务器远程执行代码漏洞风险通告（CVE-2020-1350）

windows server windows 网络安全安全 linux

近日，腾讯安全云鼎实验室监测到，微软于周二发布了一个存在17年之久的蠕虫级安全漏洞（代号： SIGRed ，漏洞编号CVE-2020-1350），漏洞被利用可导致 Windows DNS服务器中的严重远程执行代码（RCE）。为避免您的业务受影响，腾讯安全云鼎实验室建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。漏洞详情 2020年7月15日，微软发布补丁修复了一个标注为远程代码执行的DNS Server漏洞，官方分类为“蠕虫级”高危漏洞，漏洞有可能通过恶意软件在

云鼎实验室

2020/07/16

1.2K0

Moxa MXview 网络管理软件报告的严重安全漏洞

mqtt 安全网络安全安全漏洞

已经披露了一些影响 Moxa MXview 基于 Web 的网络管理系统的安全漏洞的技术细节，其中一些可能被未经身份验证的攻击者链接，以在未打补丁的服务器上实现远程代码执行。

Khan安全团队

2022/02/15

8330

相关推荐

GitLab修复了CE、EE版本中一个远程代码执行漏洞

更多 >

LV.2

这个人很懒，什么都没有留下～

作者相关精选

目录

漏洞概述

漏洞详情

影响范围

修复建议
- 临时修复
- 最佳实践

加入讨论

的问答专区 >

1先锋会员擅长2个领域

相关课程

一站式学习中心 >

云开发微搭低代码平台-一人构建企业级应用实战训练营

腾讯云微搭低代码

AI代码助手快速上手训练营

腾讯云代码助手