Severity: Critical
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CVSS v3 score: 9.9

Ngày 30/06/2022 GitLab đưa ra thông báo một lỗ hổng nghiêm trọng ảnh hưởng các phiên bản gitlab Community Edition (CE) and Enterprise Edition (EE) với CVSS score 9.9. mang tên CVE-2022-2185. Từ một người dùng được ủy quyền có thể import một project độc hại dẫn đến việc thực thi mã từ xa.

Phiên bản ảnh hưởng

Gitlab CE/EE 14.0 tới 14.10.5
Gitlab CE/EE 15.0 tới 15.0.4
Gitlab CE/EE 15.1 tới 15.1.1

Phiên bản không ảnh hưởng

Gitlab CE/EE 14.10.5
Gitlab CE/EE 15.0.4
Gitlab CE/EE 15.1.1

Cách khắc phục:

Các máy chủ đang dùng phiên bản gitlab ảnh hưởng cập nhập lên bản mới được khuyến nghị
Giới hạn truy cập sử dụng gitlab chỉ cho những người dùng liên quan truy cập.
Đưa gitlab vào local

Tham khảo: