GitLab发布安全更新，修复CE、EE版本的关键漏洞

近日，DevOps 平台 GitLab 发布了安全更新，修复影响其 GitLab 社区版（CE）和企业版（EE）的关键远程代码执行漏洞。漏洞编号为CVE-2022-2884（CVSS 评分 9.9）。经过身份验证后，攻击者可通过GitHub 导入 API 利用该漏洞进行攻击。

漏洞影响GitLabCE/EE 多个版本

漏洞爆出后，GitLab 运营商在发布的安全公告中表示，GitLab CE/EE 中的漏洞（CVE-2022-2884）主要影响11.3.4——15.1.5之间的所有版本。此外，从 15.2 到 15.2.3 的所有版本和15.3 到 15.3.1 的所有版本也受到严重影响。

运营商在公告中强调，CVE-2022-2884 漏洞允许经过“身份认证”的攻击者从 GitHub 导入 API 端点实现远程代码执行。因此，建议所有安装了受漏洞影响版本的用户尽快升级到最新版本。

尚不清楚漏洞是否在野被利用

据披露的信息来看，CVE-2022-2884 漏洞由研究人员 yvvdwf 最早发现，随后通过HackerOne 漏洞赏金计划，快速报告了该漏洞。目前，尚不清楚该漏洞是否在野外被利用。

用户无法立即升级最新版本怎么办？

对于一些用户因其他原因无法立即升级到最新版本，GitLab 运营商也提供了解决方法。建议用户以“管理员”身份认证后，从设置菜单的 “可见性和访问控制 ”标签中禁用 GitHub 的导入功能。

如何防止漏洞被利用？

我们可以通过以下一些预防方法，避免漏洞被利用。

1、确保使用可靠的安全软件并安装所有最近的更新；

2、使用强密码，防止让黑客蛮力进入账户；

3、始终更新软件，推迟更新软件，漏洞利用经常会发生。

不管CVE-2022-2884 漏洞在野有没有被利用，我们首先要做的是，及时升级到最新版本。没有条件立即升级到最新版本的，就按照GitLab 运营商提供的解决方法去操作。