当前位置:首页 > 漏洞预警 > 正文

GitLab远程命令执行漏洞(CVE-2021-22205)预警

发布时间:2021-04-25 10:40:40,来源:深信服科技股份有限公司

一、基本情况

GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。

近日,GitLab发布安全更新公告,修复了GitLab社区版(CE)和企业版(EE)存在一个远程命令执行漏洞,漏洞CVE编号:CVE-2021-22205。攻击者可利用该漏洞在目标服务器上执行任意命令。建议受影响用户将GitLab升级至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

二、 漏洞等级

高危

三、 漏洞描述

该漏洞影响从11.9开始的所有版本,由于Gitlab未正确验证传递到文件解析器的图像文件从而导致命令执行。攻击者可构造恶意请求利用该漏洞在目标系统执行任意指令,最终导致Gitlab服务器被控制。

四、 影响范

Gitlab CE/EE < 13.10.3

Gitlab CE/EE < 13.9.6

Gitlab CE/EE < 13.8.8

五、 全建议

建议用户将GitLab社区版(CE)和企业版(EE)版本升级至13.10.3、13.9.6和13.8.8进行防护。

下载地址:https://about.gitlab.com/update

六、 参考链接

https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/