Forwarded from MiaoTony's Box (MiaoTony)
#今天又看了啥 #security #GitLab #CVE
GitLab 远程代码执行漏洞(CVE-2022-2185):
GitLab社区版(CE)和企业版(EE)中存在一个远程代码执行漏洞,经过身份验证的攻击者通过利用该漏洞导入恶意项目,最终可实现在目标服务器上执行任意代码。CVSS评分为9.9。
GitLab 跨站脚本(XSS)漏洞(CVE-2022-2235):
GitLab企业版(EE)存在一个XSS漏洞,经过身份验证的攻击者通过诱导用户点击特制的恶意文件可以成功利用该漏洞。CVSS评分为8.7。
GitLab 存储型XSS漏洞(CVE-2022-2230):
GitLab社区版(CE)和企业版(EE)的设置页面中存在一个存储型的XSS漏洞,拥有高权限的攻击者利用该漏洞可导致以受害者的名义在GitLab中执行任意JavaScript代码。CVSS评分为8.1。
GitLab授权不当漏洞(CVE-2022-2229):
GitLab社区版(CE)和企业版(EE)的设置页面中存在一个授权不当漏洞,未经身份验证的攻击者可在所属的公共项目或私人项目中提取出攻击者已知名称的,且未受保护变量的值。CVSS评分为7.5。
https://about.gitlab.com/releases/2022/06/30/critical-security-release-gitlab-15-1-1-released/
http://blog.nsfocus.net/gitlab-202207/
GitLab 远程代码执行漏洞(CVE-2022-2185):
GitLab社区版(CE)和企业版(EE)中存在一个远程代码执行漏洞,经过身份验证的攻击者通过利用该漏洞导入恶意项目,最终可实现在目标服务器上执行任意代码。CVSS评分为9.9。
GitLab 跨站脚本(XSS)漏洞(CVE-2022-2235):
GitLab企业版(EE)存在一个XSS漏洞,经过身份验证的攻击者通过诱导用户点击特制的恶意文件可以成功利用该漏洞。CVSS评分为8.7。
GitLab 存储型XSS漏洞(CVE-2022-2230):
GitLab社区版(CE)和企业版(EE)的设置页面中存在一个存储型的XSS漏洞,拥有高权限的攻击者利用该漏洞可导致以受害者的名义在GitLab中执行任意JavaScript代码。CVSS评分为8.1。
GitLab授权不当漏洞(CVE-2022-2229):
GitLab社区版(CE)和企业版(EE)的设置页面中存在一个授权不当漏洞,未经身份验证的攻击者可在所属的公共项目或私人项目中提取出攻击者已知名称的,且未受保护变量的值。CVSS评分为7.5。
https://about.gitlab.com/releases/2022/06/30/critical-security-release-gitlab-15-1-1-released/
http://blog.nsfocus.net/gitlab-202207/
GitLab
GitLab Critical Security Release: 15.1.1, 15.0.4, and 14.10.5
Learn more about GitLab Critical Security Release: 15.1.1, 15.0.4, and 14.10.5 for GitLab Community Edition (CE) and Enterprise Edition (EE).