近日,SecurityAffairs网站披露,DevOps平台GitLab修复了社区版(CE)和企业版(EE)的一个关键远程代码执行漏洞。该漏洞被跟踪为CVE-2022-2884(CVSS评分9.9)。据悉,攻击者通过“认证”后,通过GitHub导入API即可利用该漏洞。目前,DevOps平台GitLab发布了安全更新,修复了影响其GitLab社区版(CE)和企业版(EE)的远程代码执行关键漏洞。GitLabCE/EE多个版本受漏洞影响该漏洞爆发后不久,GitLab运营商在安全公告中表示,GitLabCE/EE中的漏洞(CVE-2022-2884)主要影响11.3.4-15.1.5介于两者之间的所有版本,此外,从15.2到15.2.3的所有版本和从15.3到15.3.1的所有版本也受到严重影响。值得一提的是,运营商在公告中强调,CVE-2022-2884漏洞允许“经过身份验证”的攻击者从GitHub导入API端点,实现远程代码执行。用户尽快升级到最新版本。目前尚不清楚该漏洞是否已在野外被利用。从媒体披露的信息来看,研究员yvvdwf首先发现了CVE-2022-2884漏洞,随后通过HackerOne漏洞赏金计划迅速上报了该漏洞。鉴于一些用户无法立即升级到最新版本,GitLab运营商提供了一个解决方法。建议用户在以“管理员”身份进行身份验证后,从设置菜单的“可见性和访问控制”选项卡中禁用GitHub的导入功能。最后,安全研究人员声称,尚不清楚CVE-2022-2884漏洞是否在野外被积极利用。
