GitLab曝出硬编码密码高危漏洞，使得存在被劫持账户的威胁

最近的网络安全研究中，GitLab 发布了安全更新，以解决一个关键的安全漏洞，如果该漏洞被利用可能允许对手控制帐户。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，该漏洞号为 CVE-2022-1162，CVSS评分为 9.1，在 GitLab CE/EE 14.7 之前的 14.7.7、14.8 之前的 14.8.5 和 14.9 之前的 14.9.2 中，为使用OmniAuth 提供程序（例如 OAuth、LDAP、SAML）注册的帐户设置了硬编码密码，这使得攻击者可能会接管帐户。

GitLab 已经解决了 GitLab 社区版 (CE) 和企业版 (EE) 的最新版本 14.9.2、14.8.5 和 14.7.7 版本的漏洞，还表示出于谨慎考虑已采取重置密码的措施。

GitLab 还发布了一个脚本程序，自我管理实例的管理员可以运行该脚本来排查出可能受 CVE-2022-1162 影响的帐户。确定受影响的帐户后，建议重置密码。

作为安全更新的一部分，GitLab 还解决了2个高危存储型XSS跨站点脚本漏洞（CVE-2022-1175 和 CVE-2022-1190）以及9个中危漏洞和5个低危漏洞。鉴于高危漏洞的严重性，强烈建议运行受影响 GitLab 版本的用户尽快升级到最新版本。