首页 > 安全 > 正文

关键CVE-2022-1162在Gitlab中的缺陷允许威胁演员接管账户

最后更新 :2022.04.02

Gitlab已经解决了一个关键漏洞,被追踪为CVE-2022-1162(CVSS得分为9.1),这可能允许远程攻击者接管用户帐户。

CVE-2022-1162漏洞相关在Gitlab CE / EE中的全全局注册期间的硬编码静态密码集。

在14.7.7,14.8之前,在14.8.7之前,为使用Gitlab CE / EE版本14.7之前的全部NIAUTH提供者(例如OAuth,LDAP,SAML)注册了硬编码密码。在14.8.5之前,14.8之前,14.8。允许攻击者可能接管账户。这是一个关键的严重性问题读取了Gitlab发布的咨询。我们强烈建议运行受下面的问题影响的版本的所有安装都会尽快升级到最新版本。

该错误是通过最新版本的14.9.2,14.8.5来解决的错误,Gitlab社区版(CE)和企业版(EE)的14.7.7。该公司还宣布将未指定数量的用户重置为预防措施。

我们在截至15:38 UTC中为选定的用户组重置了Gitlab.com密码。我们的调查显示,没有迹象表明用户或账目受到损害,但我们为用户的安全采取预防措施。继续咨询。

gitlab不知道通过利用此漏洞损害的账户。

公司开发了一个脚本,可用于识别由CVE-2022-1162影响的用户账户。

在找到潜在影响的用户帐户后,管理员必须重置用户密码。

- END -

看更多