安全通告

Gitlab硬编码漏洞安全风险通告

发布日期：2022-4-07

漏洞描述

近日，监测到Gitlab硬编码漏洞在互联网上流传，Gitlab是一个用于仓库管理系统的开源项目，使用Git作为代码管理工具，可通过Web界面访问公开或私人项目，系统为使用了OmmiAuth提供程序(例如OAuth、LDAP、SAML)注册的账户设置了硬编码密码，从而允许攻击者可直接通过硬编码密码登录并接管账户。

目前，此漏洞细节已在互联网上流传。鉴于此漏洞细节已公开，建议客户尽快做好自查及防护。

漏洞危害

攻击者可利用该漏洞进行账户接管

漏洞等级

高危
受影响版本

Gitlab CE/EE  >=14.7,<14.7.7

Gitlab CE/EE  >=14.8,<14.8.5

Gitlab CE/EE  >=14.9,<14.9.2

不受影响版本

Gitlab CE/EE  >=14.7.7

Gitlab CE/EE  >=14.8.5

Gitlab CE/EE  >=14.9.2

修复方案

根据受影响版本中的信息，排查并升级到不受影响的版本

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2022-1162
• https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1162.json