CVE-2022-2185 — 神龙十问 AI 深度分析摘要

🚨 **本质**：GitLab **项目导入功能**存在 **OS命令注入**。 💥 **后果**：攻击者可执行 **任意代码**，导致 **RCE**（远程代码执行）。

🔍 **缺陷点**：**项目导入**模块未正确过滤输入。 ⚠️ **CWE**：数据中未提供具体CWE ID，但属于典型的 **命令注入** 类缺陷。

📦 **受影响版本**： - **14.0** 系列（< 14.10.5） - **15.0** 系列（< 15.0.4） - **15.1** 系列（< 15.1.1） - **15.2+** 及后续所有版本（若未修复）

👊 **黑客能力**： - 执行 **恶意软件** - 窃取 **敏感信息** - 修改/删除 **数据** - 获取服务器 **完全控制权**

🔑 **利用门槛**： - 需要 **认证用户**（Authenticated） - 需拥有 **项目导入权限** - 无需用户交互（UI: N）

💣 **现成Exp**： - ✅ **有PoC**：GitHub上有多个PoC（如 `safe3s` 和 `ESUAdmin` 仓库）。 - 🌐 **在野利用**：参考 Starlabs 分析报告，存在利用案例。

🔎 **自查方法**： - 使用 **Nuclei** 模板扫描（`CVE-2022-2185.yaml`）。 - 检查 GitLab 版本是否在 **受影响列表** 中。 - 监控 **项目导入** 相关的异常日志。

🛡️ **官方修复**： - ✅ **已发布补丁**。 - 升级至 **14.10.5+**、**15.0.4+** 或 **15.1.1+** 即可修复。

🚧 **临时规避**： - 若无补丁，**禁用** 或 **限制** “项目导入”功能。 - 严格限制拥有 **导入权限** 的用户账号。 - 部署 **WAF** 拦截相关恶意请求。

⚡ **优先级**：🔴 **极高**。 - CVSS 评分 **高**（AV:N/AC:L/PR:L/S:C/C:H/I:H/A:H）。 - 利用简单，后果严重（RCE），建议 **立即升级**。

更新于 2026-05-08CVSS 9.9 · Critical

本页是神龙十问 AI 深度分析的摘要版。完整版（更长回答、追问、相关漏洞）需登录查看 →

Q1这个漏洞是什么？（本质+后果）

🚨 **本质**：GitLab **项目导入功能**存在 **OS命令注入**。 💥 **后果**：攻击者可执行 **任意代码**，导致 **RCE**（远程代码执行）。

🔍 **缺陷点**：**项目导入**模块未正确过滤输入。 ⚠️ **CWE**：数据中未提供具体CWE ID，但属于典型的 **命令注入** 类缺陷。

📦 **受影响版本**： - **14.0** 系列（< 14.10.5） - **15.0** 系列（< 15.0.4） - **15.1** 系列（< 15.1.1） - **15.2+** 及后续所有版本（若未修复）

👊 **黑客能力**： - 执行 **恶意软件** - 窃取 **敏感信息** - 修改/删除 **数据** - 获取服务器 **完全控制权**

🔑 **利用门槛**： - 需要 **认证用户**（Authenticated） - 需拥有 **项目导入权限** - 无需用户交互（UI: N）

💣 **现成Exp**： - ✅ **有PoC**：GitHub上有多个PoC（如 `safe3s` 和 `ESUAdmin` 仓库）。 - 🌐 **在野利用**：参考 Starlabs 分析报告，存在利用案例。

🔎 **自查方法**： - 使用 **Nuclei** 模板扫描（`CVE-2022-2185.yaml`）。 - 检查 GitLab 版本是否在 **受影响列表** 中。 - 监控 **项目导入** 相关的异常日志。

🛡️ **官方修复**： - ✅ **已发布补丁**。 - 升级至 **14.10.5+**、**15.0.4+** 或 **15.1.1+** 即可修复。

🚧 **临时规避**： - 若无补丁，**禁用** 或 **限制** “项目导入”功能。 - 严格限制拥有 **导入权限** 的用户账号。 - 部署 **WAF** 拦截相关恶意请求。

⚡ **优先级**：🔴 **极高**。 - CVSS 评分 **高**（AV:N/AC:L/PR:L/S:C/C:H/I:H/A:H）。 - 利用简单，后果严重（RCE），建议 **立即升级**。