GitLab多个安全漏洞CVE-2022-2992,CVE-2022-2865,CVE-2022-2527

近日,我司监测到GitLab发布的安全公告,修复了三个存在于GitLab CE/EE中的安全漏洞。

GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。

漏洞详情如下:

CVE-2022-2992 GitLab CE/EE 远程代码执行漏洞

漏洞类型:远程代码执行

风险等级:高危

漏洞描述:该漏洞允许经过身份验证的用户通过GitHub 导入功能远程执行代码。

CVE-2022-2865 GitLab CE/EE 跨站脚本漏洞

漏洞类型:跨站脚本攻击(XSS)

风险等级:高危

漏洞描述:攻击者可能通过设置标签颜色功能导致存储型XSS。

CVE-2022-2527 GitLab CE/EE 注入漏洞

漏洞类型:注入漏洞

风险等级:高危

漏洞描述:攻击者可能通过事件时间线描述功能进行内容注入。

 

影响版本:

  • GitLab CE/EE < 15.1.6
  • 15.2 <= GitLab CE/EE < 15.2.4
  • 15.3 <= GitLab CE/EE < 15.3.2

 

安全版本:

  • GitLab CE/EE = 15.1.6
  • GitLab CE/EE = 15.2.4
  • GitLab CE/EE = 15.3.2

 

修复建议:

官方已发布安全版本,请及时下载更新,下载参考地址:

https://about.gitlab.com/update/

发表评论

评论已关闭。

相关文章