近期，Security Affairs 網(wǎng)站披露，DevOps 平臺(tái) GitLab 修復(fù)了其社區(qū)版（CE）和企業(yè)版（EE）中出現(xiàn)的一個(gè)關(guān)鍵遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞被追蹤為 CVE-2022-2884（CVSS 評(píng)分 9.9）。

據(jù)悉，攻擊者經(jīng)過“身份驗(yàn)證”后，可以通過 GitHub 導(dǎo)入 API 利用該漏洞。目前 DevOps 平臺(tái) GitLab 已經(jīng)發(fā)布了安全更新，修復(fù)了這一影響其 GitLab 社區(qū)版（CE）和企業(yè)版（EE）的關(guān)鍵遠(yuǎn)程代碼執(zhí)行漏洞。

GitLabCE/EE 多個(gè)版本受到漏洞影響

漏洞爆出不久后，GitLab 運(yùn)營商在發(fā)布的安全公告中表示，GitLab CE/EE 中的漏洞（CVE-2022-2884）主要影響11.3.4——15.1.5之間的所有版本，此外，從 15.2 到 15.2.3 的所有版本和15.3 到 15.3.1 的所有版本也受到嚴(yán)重影響。

值得一提的是，運(yùn)營商在公告中著重強(qiáng)調(diào)，CVE-2022-2884 漏洞允許經(jīng)過“身份認(rèn)證”的攻擊者從 GitHub 導(dǎo)入 API 端點(diǎn)實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，因此強(qiáng)烈建議所有安裝了受漏洞影響版本的用戶盡快升級(jí)到最新版本。

漏洞是否在野被利用尚不清楚

從媒體披露的信息來看，研究人員 yvvdwf 最早發(fā)現(xiàn)了 CVE-2022-2884 漏洞，隨后通過 HackerOne 漏洞賞金計(jì)劃，快速報(bào)告了該漏洞。

鑒于一些用戶無法立即升級(jí)到最新版本，GitLab 運(yùn)營商提供了一個(gè)解決方法。建議用戶以 “管理員 ”身份認(rèn)證后，從設(shè)置菜單的 “可見性和訪問控制 ”標(biāo)簽中禁用 GitHub 的導(dǎo)入功能。

最后，安全研究人員聲稱，目前尚不清楚 CVE-2022-2884 漏洞是否在野外攻擊中被積極利用。