GitLab 中 GitHub 导入 API 存在远程代码执行漏洞

最新推荐文章于 2024-05-26 09:34:38 发布
最新推荐文章于 2024-05-26 09:34:38 发布
阅读量319 收藏
点赞数
分类专栏: 漏洞情报订阅 文章标签: gitlab github 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/126644503
版权

漏洞描述

GitLab 是由 GitLab 公司开发的、基于 Git 的集成软件开发平台。

GitLab 的受影响版本中存在远程代码执行漏洞,此漏洞与 CVE-2022-2884 相似,允许经过身份验证的用户通过从 GitHub API 端点导入来实现远程代码执行。

攻击者可利用该漏洞进行远程代码执行,甚至接管服务器。

漏洞名称 GitLab 中 GitHub 导入 API 存在远程代码执行漏洞
漏洞类型 代码注入
发现时间 2022/8/31
漏洞影响广度 一般
MPS编号 MPS-2022-56071
CVE编号 CVE-2022-2992
CNVD编号 -

影响范围

GitLab@[11.10, 15.1.6)

GitLab@[15.2, 15.2.4)

GitLab@[15.3, 15.3.2)

修复方案

升级GitLab到15.1.6或更高版本

关闭GitHub导入创建仓库功能

升级GitLab到15.2.4或更高版本

升级GitLab到15.3.2或更高版本

参考链接

最低0.47元/天 解锁文章
开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OSCS开源软件供应链安全社区上线,携手开源社区共同提升开源安全质量
OSCS开源安全社区
05-23 894
现如今,开发者们使用开源代码来构建软件几乎不可避免。但所有这些外部引入的依赖都可能带来额外的软件安全风险。 调研报告显示,84% 代码库至少存在一个开源组件安全漏洞,其平均每个代码存在 158 个开源组件漏洞,65% 的代码存在许可冲突,发现的漏洞平均是已存在 2.2 年。开源软件存在如此多的安全漏洞,这对于应用开源软件的企业和个人来讲,都是巨大的安全隐患。 事实上,大家也都在努力保护他们的开源软件供应链安全,但是,又面临一个问题,他们甚至都不知道他们的软件使用了哪些开源组件,其又包含了哪些代码
OSCS-软件供应链安全威胁与业界解决方案
OSCS开源安全社区
06-02 1913
提到这个话题,其实它的背后是整个软件的发展,以及整个开源生态的发展,包括像云原生以及低代码这些新技术的发展,我们可以发现软件的开发越来越像是一个在搭积木的过程。这些积木,其实就是这些开源组件、开源软件。有机构调研显示说,在2015年到2019年之间,整个开源代码在项目代码里面使用的占比是翻了一倍的,直到今天,它大概是到了78%的一个水平。从上边的这一组数据来看,每个项目里面引入的开源组件可能会超过一百多个,这里面有28%都是有漏洞缺陷的。同时呢,这些有漏洞的组件,它不止存在一个漏洞,平均是两个三个漏洞
探秘GitLab安全漏洞:CVE-2021-2205扫描与防护工具
最新发布
gitblog_00096的博客
05-26 372
探秘GitLab安全漏洞:CVE-2021-2205扫描与防护工具 项目地址:https://gitcode.com/Al1ex/CVE-2021-22205 本文将带你深入了解一个针对GitLab安全漏洞——CVE-2021-2205,并向你推荐一款用于检测和利用该漏洞的开源工具。通过这篇文章,你不仅可以了解这个影响广泛的问题,还能学习如何保护你的GitLab实例免受攻击。 1. 项目介绍 在...
开源组件漏洞检查工具实践分析
发现问题,面对问题,分析问题,解决问题,总结问题
08-28 3933
开源软件安全检测工具。该工具主要提供如下功能:【代码安全检测】:识别您代码项目存在的开源组件安全漏洞,并快速修复它。【许可证合规评估】:识别您代码项目使用的开源组件许可证,检查合规的风险。【软件成分分析】:识别您代码和基础环境的三方组件依赖资产,并有效管理。支持语言:目前支持 Java、JavaScript、Golang 、Python 语言项目的检测...
漏洞预警】Gitlab 曝出远程代码执行漏洞
murphysec的博客
07-01 1017
2022年7月1日,OSCS 监测到 Gitlab 曝出远程代码执行漏洞。该漏洞等级较为严重。GitLab 授权用户可以导入恶意制作的项目导致远程代码执行,攻击者可利用该漏洞执行任意远程代码,OSCS 建议各位开发者关注漏洞风险。GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git(版本控制系统)项目仓库应用程序,开发者可通过 Web 界面访问公开或私人项目。漏洞评级:严重影响项目:GitLab影响版本:获取 GitLab 版本,判断其版本在 [14.0
开源组件风险修复,升级版本就够了吗?
热门推荐
cenlois的博客
03-12 1万+
通常情况下开源组件风险的修复建议是升级版本。但是这样就够了么?近日,开源安全研究院研究员发现了风险修复里一些很有意思的点。 1.开源安全研究院先是对MeterSphere的1.18.0版本进行了开源组件的安全检测发现了存在风险并向MeterSphere提出了修复的建议,MeterSphere也对此表示了感谢。 2.随后绿盟发现MeterSphere开源持续测试平台的三处漏洞并上报,MeterSphere对此表示了感谢并且升级版本为1.18.1。 3.这时开源安全研究院开始思考为何最初...
gitlab-to-github-migration:将GitLab项目迁移到GitHub
02-04
警告 :warning: 该项目满足了rtCamp自己的需求。 rtCamp不再需要该项目的性质,因此不再对其进行维护。 您的支持请求和请求...这将为GitLabGitHub用户名创建用户映射,并相应地更新其在注释,描述和受让人的引
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
然而,Fastjson 1.2.69 版本存在一个严重的反序列化远程代码执行漏洞,这使得攻击者有可能通过精心构造的输入数据,绕过防御机制,执行任意远程代码,对服务器的安全构成重大威胁。 **漏洞原理** Fastjson 在处理 ...
GitHub-api-kotlin:kotlinGitHub API
02-04
Kotlin-Github-API jcenter: ://bintray.com/kamontat/github-api-kotlin/core-api compile 'com.kamontat.github:github-api-kotlin:0.0.1-alpha.2' 发布命令: ./gradew build bintrayUpload --info
git、gitlabgithub详细视频教学
08-27
git三剑客详细教学视频,基础+进阶+实践/可以轻松应对使用的各种情况 百度网盘链接:https://pan.baidu.com/s/1VlgY6jyi-nBCxgV3xYtDjQ
Git使用详解结合GitLabGitHub
01-08
GitLabGitHub都是基于Git的代码托管平台,提供云存储、协作开发和项目管理功能。 1. GitLab:提供私有仓库和公开仓库,功能上更全面,包括持续集成/部署(CI/CD)、代码审查、问题跟踪、项目管理等。对于企业用户...
安全狗高危安全通告】GitLab远程代码执行漏洞
bocco的博客
08-24 725
近日,安全狗应急响应心监测到GitLab发布安全公告,修复了GitLab社区版(CE)和企业版(EE)的一个远程代码执行漏洞(CVE-2022-2884),该漏洞的CVSS评分为9.9,允许经过身份验证的用户通过GitHub API端点导入远程执行代码
开源组件安全漏洞检测主流工具对比
manok的专栏
12-25 9126
下面是根据笔者从事软件代码安全检测工作的经验以及对开源组件、第三库安全漏洞检测工具的市场调研所获得的资料,如有错误或不妥之处,还请各位指正。如果表格有一些未知信息你了解,请给帮我补充。让我们更多的了解市场上的主流工具。 目前这些工具在国内都有销售,其Blackduck很多人都了解,前几年被Synopsys公司所收购,只能在国内销售不带库的版本。要把安全漏洞对应到...
2020年十大开源漏洞回顾
smellycat000的专栏
01-04 2053
聚焦源代码安全,网罗国内外最新资讯!WhiteSource 公司基于 NVD、安全公告和开源项目问题追踪工具等回顾了2020年出现的十大开源漏洞。如下:1、LodashCVE-2020...
【SCA 开源组件漏洞整改】记录遇到的问题
Chandra的学习之路
07-01 2426
记录SCA开源漏洞整改时,遇到的问题和使用的工具
gitlab-runner 执行权限不够_F5 BIG-IP 远程代码执行漏洞(CVE-2020-5902) 漏洞利用
weixin_35327824的博客
12-26 393
0x01 漏洞详情最近各大平台都在推送F5 BIG-IP 远程代码执行漏洞漏洞编号为CVE-2020-5902。BIG-IP ADC广泛应用于大型企业,数据心、云计算平台,可以实现应用加速、负载均衡、SLL过载、web应用防火墙等功能。未认证的攻击者可以通过发送伪造的恶意HTTP请求到含有TMUI工具的具有漏洞的服务器来远程利用该漏洞。成功利用该漏洞可以完全控制设备的管理员权限,无需授权就可...
GitLab远程代码执行漏洞通告
爱国小白帽
04-21 901
报告编号:B6-2021-041601 报告来源:360CERT 报告作者:360CERT 更新日期:2021-04-16 漏洞简述 2021年04月16日,360CERT监测发现 GitLab官方 发布了 GitLab 安全更新,漏洞等级: 严重 ,漏洞评分: 9.9 。 GitLab 是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,可通过 Web 界面访问公开或私人项目。 对此,360CERT建议广大用户及时将 GitLab 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免.
BigBlueButton 授权不当漏洞(CVE-2022-29236)
murphysec的博客
06-02 477
CVE-2022-29236漏洞是由于全球性的教学平台——BigBlueButton先前引入的宽限期,导致权限检查在服务器上被无意地跳过。该漏洞影响范围小,且要求攻击者必须是会议参与者。该问题已在 2.3.18 和 2.4-rc-6 版本修复。参考链接:https://nvd.nist.gov/vuln/detail/CVE-2022-29236 https://github.com/bigbluebutton/bigbluebutton/pull/13803       【使用墨菲安全的开源工具帮您快速
GitLab 远程命令执行漏洞复现(CVE-2021-22205)
Bird&Bird
12-02 4382
目录一、漏洞描述二、影响版本三、环境搭建四、漏洞复现4.1、脚本复现4.1.1、下载利用脚本 一、漏洞描述 GitLab 没有正确验证传递给文件解析器的图像文件,这导致远程命令执行,可执行系统命令。这是一个严重的问题。它现在在最新版本得到缓解,漏洞编号CVE-2021-22205。 二、影响版本 11.9 <= GitLab(CE/EE)< 13.8.8 13.9 <= GitLab(CE/EE)< 13.9.6 13.10 <= GitLab(CE/EE)< 13
gitlabgithub
12-01
GitLabGitHub都是基于Git的代码托管平台,它们都提供了代码仓库、版本控制、协作工具等功能。但是它们也有一些不同之处: 1. GitLab是开源的,可以自建在本地服务器上,而GitHub则是商业化的,需要付费使用私有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值