一、 漏洞详情
GitLab是由GitLab Inc.开发,一款基于Git的完全集成的软件开发平台。
2021年4月14日Gitlab官方发布安全更新,披露了CVE-2021-22205 Gitlab exiftool远程命令执行漏洞,攻击者通过上传恶意图片可触发远程命令执行,控制服务器。近期,互联网上披露CVE-2021-22205 Gitlab exiftool远程命令执行漏洞在野利用事件及其新型利用方式,由于Gitlab某些端点路径无需授权,攻击者可在无需认证的情况下完成图片上传,从而执行任意命令。
二、 影响范围
11.9 <= GitLab(CE/EE)< 13.8.8
13.9 <= GitLab(CE/EE)< 13.9.6
13.10 <= GitLab(CE/EE)< 13.10.3
三、 修复建议
尽快升级Gitlab至最新版本。
相关链接:https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/