一、概要
近日,我们关注到Gitlab官方在2021年4月14日发布的安全更新公告中披露的Gitlab远程命令执行漏洞(CVE-2021-22205)在互联网上已出现在野攻击利用。由于Gitlab没有正确验证传递给解析器的图像文件,攻击者利用漏洞上传专门制作的图像文件可导致执行远程代码执行,目前漏洞POC已公开,风险较高。
GitLab 是一款基于 Git 的完全集成的软件开发平台。我们提醒使用GitLab的用户尽快安排自检并做好安全加固。
参考链接:https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
11.9 <= GitLab(CE/EE)< 13.8.8
13.9 <= GitLab(CE/EE)< 13.9.6
13.10 <= GitLab(CE/EE)< 13.10.3
安全版本:
GitLab(CE/EE) 13.8.8
GitLab(CE/EE) 13.9.6
GitLab(CE/EE) 13.10.3
四、漏洞处置
目前,官方已在新版本修复了该漏洞,请受影响的用户尽快升级到安全版本:
下载地址:https://about.gitlab.com/update/
注:修复漏洞前请将资料备份,并进行充分测试。