【漏洞预警】GitLab 曝出远程代码执行漏洞

最新推荐文章于 2024-04-12 09:17:00 发布
最新推荐文章于 2024-04-12 09:17:00 发布
阅读量1k 收藏
点赞数 1
文章标签: git
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/125563227
版权

OSCS(开源软件供应链安全社区)致力于让每一个开源项目变的更安全,也帮助每一个开发者更安全的使用开源代码。

漏洞概述

2022年7月1日,OSCS 监测到 GitLab 曝出远程代码执行漏洞。该漏洞等级较为严重,CVE编号为 CVE-2022-2185

GitLab 中授权用户可以导入恶意制作的项目导致远程代码执行,攻击者可利用该漏洞执行任意远程代码,OSCS 建议各位开发者关注漏洞风险。

GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git(版本控制系统)项目仓库应用程序,开发者可通过 Web 界面访问公开或私人项目。

漏洞评级:严重

影响项目:GitLab

影响广度:广

影响版本:

组件 影响版本 安全版本
GitLab CE/EE 14.0版本 < 14.10.5 14.10.5
GitLab CE/EE 15.0版本 < 15.0.4 15.0.4
GitLab CE/EE 15.1版本 < 15.1.1 15.1.1

排查方

最低0.47元/天 解锁文章
开源生态安全OSCS
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GitLab远程代码执行漏洞风险提示(CVE-2022-2185)
qzt961003的博客
07-05 3866
近日, GitLab 官方发布了安全公告,修复了 GitLab 社区版(CE)和企业版(EE)中的一个远程代码执行漏洞CVE-2022-2185),CVSS 评分 9.9,该漏洞源于授权用户可以导入恶意制作的项目导致远程代码执行,成功利用此漏洞的攻击者可获得服务器权限。目前官方已发布安全版本,建议受影响的用户尽快采取安全措施。...
GitLabGitHub 导入 API 存在远程代码执行漏洞
OSCS开源安全社区
09-01 315
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。GitLab 的受影响版本中存在远程代码执行漏洞,此漏洞CVE-2022-2884 相似,允许经过身份验证的用户通过从 GitHub API 端点导入来实现远程代码执行GitLab 是由 GitLab 公司开发的、基于 Git 的集成软件开发平台。升级GitLab到15.1.6或更高版本。升级GitLab到15.2.4或更高版本。升级GitLab到15.3.2或更高版本。...
三流安全工程师的渗透测试记录_ u0040 u0074 u0079 u0070 u0065
最新发布
2401_83621136的博客
04-12 846
返回为成功,使用abc#123456确实登录成功。然而这并不意味着,无论何时,直接发送重置密码的数据包都能成功的,这里能成功,是因为手机验证码一般都会有个有效时间,大概发送验证码后的十分钟内,直接发送重置密码的包是能重置成功的。十分钟后虽然返回也是成功,但是登录不上。给的修复建议是:1.后端校验验证码是否正确;2.去掉单独校验验证码的数据包,将验证码与修改后的密码在同一数据包中发送给后端,后端校验验证码正确后直接修改密码,不二次发包。
漏洞预警Gitlab 曝出远程代码执行漏洞
murphysec的博客
07-01 1005
2022年7月1日,OSCS 监测到 Gitlab 曝出远程代码执行漏洞。该漏洞等级较为严重。GitLab 中授权用户可以导入恶意制作的项目导致远程代码执行,攻击者可利用该漏洞执行任意远程代码,OSCS 建议各位开发者关注漏洞风险。GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git(版本控制系统)项目仓库应用程序,开发者可通过 Web 界面访问公开或私人项目。漏洞评级:严重影响项目:GitLab影响版本:获取 GitLab 版本,判断其版本在 [14.0
Gitlab远程代码执行漏洞(CVE-2021-22205)在野利用,8220挖矿团伙最新变种分析
ZL_1618的博客
08-17 347
近日,阿里云安全监测到Gitlab远程代码执行(CVE-2021-22205)在野利用,其团伙不仅利用4层协议服务进行入侵,还集成了使用比较广的WebRCE漏洞,最终通过持久化方式进行挖矿、木马后门维持,对用户主机资源、资产产生不良危害,通过攻击手法、文件命名自动确认为8220挖矿团伙最新变种。阿里云安全持续对最新变种进行监控,发现至10月21日后传播有所上升,11月4日发现利用Gitlab远程代码漏洞进行入侵,提醒广大企业客户注意防护。
GitLab 远程命令执行漏洞(CVE-2021-22205)
weixin_42299610的博客
06-02 1284
GitLab 远程命令执行漏洞(CVE-2021-22205)
漏洞预警Gitlab Wiki API 远程代码执行漏洞
weixin_34221773的博客
09-29 477
漏洞预警Gitlab Wiki API 远程代码执行漏洞 https://aqzt.com/5490.html
预警事项:Fastjson反序列化远程代码执行漏洞风险预警
05-24
阿里巴巴发布关于Fastjson安全公告,在1.2.80及以下版本中存在反序列化风险。Fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean...攻击者利用该漏洞可实现在目标机器上的远程代码执行
CVE-2018-2893:Oracle WebLogic Server 远程代码执行漏洞分析预警
07-19
攻击者可以在未授权的情况下将 payload 封装在 T3 协议中,通过对 T3 协议中的 payload 进行反序列化,从而实现对存在漏洞的 WebLogic 组件进行远程攻击,执行任意代码并可获取目标系统的所有权限。漏洞危害通过该...
「工控安全」爱康集团信息安全建设 - 漏洞预警.zip
11-09
「工控安全」爱康集团信息安全建设 - 漏洞预警 端点安全 安全资讯 等级保护 数据安全 安全实践
GitLab任意文件读取漏洞(CVE-2020-10977)POC
01-15
检测脚本
GitLab 修复两个严重的远程代码执行漏洞
smellycat000的专栏
08-24 396
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士DevOps 平台 GitLab 修复了位于 GitLab社区版和企业版发布中的两个远程代码执行漏洞 (CVE-2022-2884)。该漏洞的CVSS评分为9.9,可通过GitHub import API被利用,不过首先需要触发认证。GitLab 在安全公告中指出,“GitLab 社区版/企业版中存在一个漏洞,影响自11.3.4起至15.1.5(...
Gitlab 远程命令执行漏洞CVE-2021-22205)分析
ML_Team的博客
10-29 3471
0x01 前言 GitLab 是由GitLab Inc.开发的一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。由于GitLab存在未授权的端点,导致该漏洞在无需进行身份验证的情况下即可进行利用。 0x02 漏洞分析 未授权的端口在于用户注册:https://xx.xx.xx.xx/users/sign_up 还可以滥用Gitlab API接口列出所有项目(包括私有项目) https://xx.xx.xx.xx/api/v4/projec.
GitLab远程代码执行漏洞(CVE-2022-2992)处理
x10n9的博客
09-08 1821
漏洞存在是由于未对GitHub中导入的API端点请求数据进行校验。经过身份认证的远程攻击者可通过发送特制的请求包最终在目标机器上执行任意代码。可以通过禁用 GitHub 导入来缓解。5.确认“GitHub”没有作为导入选项出现。4.在“导入源”下禁用“GitHub”选项。1.在浏览器窗口中,以任何用户身份登录。3.展开“可见性和访问控制”选项卡。1.点击“菜单”->“管理”。2.点击“设置”->“常规”。3.点击“新建项目/存储库”。2.点击顶部栏上的“+”。5.点击“保存更改”。4.点击“导入项目”。
【严重】GitLab 存在代码执行漏洞
murphysec的博客
06-01 765
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。gitlab@影响所有版本。
gitlab 命令执行漏洞CVE-2022-2992)
网络安全。
01-15 1441
GitLab CE/EE 中的一个漏洞影响从 11.10 开始到 15.1.6 之前的所有版本、从 15.2 开始到 15.2.4 之前的所有版本、从 15.3 开始到 15.3.2 之前的所有版本。允许经过身份验证的用户通过从 GitHub API 端点导入实现远程代码执行。查看 gitlab 版本。(登录后才能看到)
程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞
yunqishequ1的博客
08-14 845
原文地址 近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞。  恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。  该漏洞GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和
公路预警系统 源代码 csdn
09-29
公路预警系统是一种基于计算机技术和数据分析的交通安全管理系统。它通过收集公路上的交通信息和监测设备的数据,实时分析交通状况,并通过显示器、音响等设备向驾驶员提供实时的路况信息和预警。 源代码是指用计算机语言编写的程序的源文件。在公路预警系统中,源代码是开发人员编写的用于控制和管理系统的重要部分。通过编写源代码,开发人员可以实现数据的采集、分析和展示功能,保证系统的运行和高效性。 CSDN是一个IT技术社区,上面有大量的技术文章和开发者分享的源代码。通过在CSDN上搜索公路预警系统的源代码,开发人员可以借鉴他人的经验,加快系统的开发和部署过程。CSDN上的开发者可以将自己开发的公路预警系统源代码分享给其他开发者,促进技术交流和共同进步。 同时,使用CSDN上的源代码也需要注意遵守相关的法律法规和使用规范,避免侵权行为。开发人员在使用和参考他人的源代码时应该注重保护知识产权,并在参考的基础上进行二次开发,提升系统的功能和性能,使其更适应实际需求。 在公路预警系统中,源代码的质量和稳定性直接影响着系统的可靠性和安全性。因此,开发人员应该注重编码规范、测试和调试工作,保证源代码的质量,并及时修复和更新系统,以提供更好的交通安全服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值