9.9分漏洞在野利用！GitLab远程命令执行漏洞被公开

漏洞描述

2021年10月28日，亚信安全CERT监控到GitLab远程命令执行漏洞（CVE-2021-22205）在野利用工具被公开，这意味着黑客可直接利用该攻击代码实施入侵攻击。具体而言，GitLab某些端点的路径存在无需授权风险，攻击者可在无需认证的情况下完成图片上传，并利用该漏洞构造恶意数据执行远程命令，最终造成服务器敏感信息泄露或执行任意命令。该漏洞CVSS3.0评分9.9分，定级为严重漏洞。

亚信安全CERT建议使用GitLab的客户尽快自查所使用版本并修复漏洞。

GitLab是美国GitLab Inc.公司开发的一款开源代码仓库管理系统。它使用Git来作为代码管理工具，同时具备issus跟踪功能，还支持私有化本地部署，极大程度上保障了代码的内部私有化管理。

漏洞编号

CVE-2021-22205 ：GitLab远程命令执行漏洞

漏洞状态

受影响的版本

• GitLab（CE/EE）>= 11.9 ，< 13.8.8

• GitLab（CE/EE）>= 13.9 ，< 13.9.6

• GitLab（CE/EE）>= 13.10 ，< 13.10.3

修复建议

目前官方已发布 GitLab 的安全修复版本，请及时更新到安全版本：

￮ GitLab（CE/EE）13.8.8

￮ GitLab（CE/EE）13.9.6

￮ GitLab（CE/EE）13.10.3

参考链接

https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/