GitLab修复了CE、EE版本中一个远程代码执行漏洞

近期，修复Security Affairs 网站披露 ，版本DevOps 平台 GitLab 修复了其社区版（CE）和企业版（EE）中出现的中个执行一个关键远程代码执行漏洞，该漏洞被追踪为 CVE-2022-2884（CVSS 评分 9.9） 。远程

据悉
，代码攻击者经过“身份验证”后，漏洞可以通过 GitHub 导入 API 利用该漏洞。服务器租用修复目前 DevOps 平台 GitLab 已经发布了安全更新，版本修复了这一影响其 GitLab 社区版（CE）和企业版（EE）的中个执行关键远程代码执行漏洞。

GitLabCE/EE 多个版本受到漏洞影响

漏洞爆出不久后，远程GitLab 运营商在发布的代码安全公告中表示，GitLab CE/EE 中的云计算漏洞漏洞（CVE-2022-2884）主要影响11.3.4——15.1.5之间的所有版本，此外，修复从 15.2 到 15.2.3 的版本所有版本和15.3 到 15.3.1 的所有版本也受到严重影响
。

值得一提的源码库中个执行是 ，运营商在公告中着重强调
 ，CVE-2022-2884 漏洞允许经过“身份认证”的攻击者从 GitHub 导入 API 端点实现远程代码执行
，因此强烈建议所有安装了受漏洞影响版本的用户尽快升级到最新版本 
。源码下载

漏洞是否在野被利用尚不清楚

从媒体披露的信息来看，研究人员 yvvdwf 最早发现了 CVE-2022-2884 漏洞，随后通过 HackerOne 漏洞赏金计划，快速报告了该漏洞。

鉴于一些用户无法立即升级到最新版本，亿华云GitLab 运营商提供了一个解决方法
。建议用户以 “管理员 ”身份认证后，从设置菜单的 “可见性和访问控制 ”标签中禁用 GitHub 的导入功能。

最后
，安全研究人员声称
，免费模板目前尚不清楚 CVE-2022-2884 漏洞是否在野外攻击中被积极利用。