#今天又看了啥 #security #GitLab #CVE

GitLab 远程代码执行漏洞（CVE-2022-2185）：
GitLab社区版(CE)和企业版(EE)中存在一个远程代码执行漏洞，经过身份验证的攻击者通过利用该漏洞导入恶意项目，最终可实现在目标服务器上执行任意代码。CVSS评分为9.9。

GitLab 跨站脚本(XSS)漏洞（CVE-2022-2235）：
GitLab企业版(EE)存在一个XSS漏洞，经过身份验证的攻击者通过诱导用户点击特制的恶意文件可以成功利用该漏洞。CVSS评分为8.7。

GitLab 存储型XSS漏洞（CVE-2022-2230）：
GitLab社区版(CE)和企业版(EE)的设置页面中存在一个存储型的XSS漏洞，拥有高权限的攻击者利用该漏洞可导致以受害者的名义在GitLab中执行任意JavaScript代码。CVSS评分为8.1。

GitLab授权不当漏洞（CVE-2022-2229）：
GitLab社区版(CE)和企业版(EE)的设置页面中存在一个授权不当漏洞，未经身份验证的攻击者可在所属的公共项目或私人项目中提取出攻击者已知名称的，且未受保护变量的值。CVSS评分为7.5。

https://about.gitlab.com/releases/2022/06/30/critical-security-release-gitlab-15-1-1-released/

http://blog.nsfocus.net/gitlab-202207/

https://swcregistry.io/
记录 #eth 漏洞的网站，分门别类地给出了智能合约漏洞案例
#security

#今天又看了啥 #security #Windows
搜狗输入法0day，绕过锁屏有手就行

搜狗输入法可绕过Window10锁屏，该方法目前仍然有效，且Win11复现成功，有些输入法存在“游戏中心”，有些输入法不存在，应该是版本问题。

https://mp.weixin.qq.com/s/naqT_o6Q-DHU9f6pJffAbg

TL;DR
在锁屏界面切换搜狗输入法，打开虚拟键盘，右键搜狗 logo 进入游戏中心，任意打开游戏弹出网页 QQ 登录界面，使用 QQ 下载拉起资源管理器，cmd 启动！甚至还是 system 权限！

震惊！Windows 2000 锁屏绕过又回来了！