近日，我司监测到GitLab发布了安全更新，修复了16个存在于GitLab Community Edition和GitLab Enterprise Edition中的安全漏洞(包括1个严重漏洞，3个高危漏洞，8个中危漏洞和4个低危漏洞)。

GitLab 是由GitLab Inc.开发，一款基于Git 的完全集成的软件开发平台。

漏洞等级属于严重和高危的漏洞详情如下：

CVE-2022-2185 GitLab远程命令执行漏洞

漏洞类型：远程命令执行

风险等级：严重

漏洞描述：授权用户可以导入恶意制作的项目，从而导致远程代码执行。

CVE-2022-2235 GitLab跨站脚本攻击漏洞

漏洞类型：XSS

风险等级：高危

漏洞描述：由于GitLab EE 的外部问题跟踪器中的清理不足，攻击者可以在受害者点击恶意制作的 ZenTao 链接时执行跨站点脚本。

CVE-2022-2230 GitLab跨站脚本攻击漏洞

漏洞类型：XSS

风险等级：高危

漏洞描述：GitLab CE/EE 的项目设置页面中存在存储跨站点脚本漏洞，攻击者能够代表受害者在 GitLab 中执行任意 JavaScript 代码。

CVE-2022-2229 GitLab授权不当漏洞

漏洞类型：授权不当

风险等级：高危

漏洞描述：GitLab CE/EE 中存在不当授权问题，使得攻击者能够提取他们知道的未受保护变量的值，这些变量在他们所属的公共项目或私有项目中的名称。

影响版本:

• GitLab < 15.1.1
• GitLab < 15.0.4
• GitLab < 14.10.5

安全版本:

• GitLab 15.1.1
• GitLab 15.0.4
• GitLab 14.10.5

修复建议：

官方已发布安全版本，请及时下载更新，下载地址：https://about.gitlab.com/update/