1.漏洞概述

2022 年 6 月 30 日 GitLab Inc. 官方发布安全更新，披露了 CVE-2022-2185 安全漏洞，授权用户可以导入恶意制作的项目导致远程代码执行。

• 漏洞详情：CVE-2022-2185
• GitLab Inc.官方安全更新补丁：GitLab Critical Security Release: 15.1.1, 15.0.4, and 14.10.5

2.漏洞 CVE-2022-2185 影响范围

CVE-2022-2185 影响范围从 GitLab 14.0 开始，影响范围为如下版本：

• 14.0 <= GitLab（CE/EE/JH）< 14.10.5
• 15.0 <= GitLab（CE/EE/JH）< 15.0.4
• 15.1 <= GitLab（CE/EE/JH）< 15.1.1

3.漏洞出处

Vakzz 通过HackerOne 漏洞赏金计划报告此漏洞。

4.漏洞问题根因

授权用户可以导入恶意制作的项目来执行远程代码。

5.漏洞问题解决

对于 GitLab 私有化部署版的用户，通过将原有的 Gitlab CE/EE/JH 升级至极狐GitLab 14.10.5、15.0.4、15.1.1 版本即可修复该漏洞。

对于 SaaS 用户（jihulab.com），无需进行任何操作，我们已经升级 SaaS 以修复该漏洞。

6.极狐GitLab技术支持

极狐技术支持团队为极狐GitLab 付费客户（专业版/旗舰版）提供全面的技术支持。极狐GitLab技术团队提供的服务有：

• 将协助您进行系统升级(Omnibus、Docker、Helm部署方式均可)
• 及时响应客户反馈，快速处理各种问题，我们的SLA 可参考：极狐GitLab技术支持SLA
• 一体化DevOps平台构建与方案优化
• 帮助您更加安全高效地使用极狐GitLab
• 协助您集成第三方软件平台
• 提供优化极狐GitLab的技术咨询，并得到本地化的极狐GitLab专业技术支持

您可以通过 https://support.gitlab.cn/#/portal/myticket 联系极狐技术支持团队寻求帮助。

此外，欢迎大家登录极狐GitLab论坛来学习交流 与DevOps、开源、远程办公等相关的内容。任何问题，我们都有专业的人员为你解答。