【安全通告】Gitlab 硬编码漏洞风险通告（CVE-2022-1162）

发布时间：2022-04-13 08:43:13

尊敬的芒竹云用户，您好！

芒竹云安全运营中心监测到， Gitlab官方发布安全通告，披露了其gitlab产品存在硬编码漏洞，漏洞编号CVE-2022-1162。可导致攻击者接管账户等危害。

为避免您的业务受影响，芒竹云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

GitLab 是一个用于代码仓库管理系统的开源项目，使用Git作为代码管理工具，并在此基础上搭建起来的Web服务。

据官方描述，系统会默认给使用了 OmniAuth 程序（例如 OAuth、LDAP、SAML）注册的帐户设置一个硬编码密码，从而允许攻击者可直接通过该硬编码密码登录并接管帐户。

风险等级

高风险

漏洞风险

攻击者利用该漏洞可导致攻击者直接登录并接管账户等危害

影响版本

Gitlab CE/EE >=14.7, <14.7.7
Gitlab CE/EE >=14.8, <14.8.5
Gitlab CE/EE >=14.9, <14.9.2

安全版本

Gitlab CE/EE >=14.7.7
Gitlab CE/EE >=14.8.5
Gitlab CE/EE >=14.9.2

修复建议

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

芒竹云客户服务中心

点击按钮可获取企业微信咨询二维码-海量知识精准解答！