Gitlab ExifTool遠程代碼執行漏洞(CVE-2021-22205)在野利用風險通告
4月14日,GitLab官方發布安全更新,修復了一個遠程代碼執行漏洞(CVE-2021-22205),漏洞等級為“嚴重”,CVSS評分9.9。10月28日,騰訊安全團隊注意到互聯網上出現該漏洞的在野利用事件,騰訊安全專家建議用戶盡快升級修復。
1漏洞描述
在GitLab CE / EE中發現了一個問題,影響從11.9-13.8,13.9-13.9.6,13.10-13.10.3之間的版本。GitLab未正確驗證傳遞到文件解析器的圖像文件,該文件導致遠程代碼執行。
騰訊安全團隊注意到,互聯網上有安全研究人員公開披露了CVE-2021-22205 Gitlab ExifTool遠程命令執行漏洞在野利用事件及其漏洞利用方式,由于 Gitlab 某些端點路徑無需授權,攻擊者可在無需認證的情況下利用圖片上傳功能執行任意代碼。
騰訊安全專家建議Gitlab用戶盡快升級修復該漏洞。
GitLab 是由 GitLab Inc.開發,一款基于 Git 的完全集成的軟件開發平臺。
2漏洞編號
CVE-2021-22205
3漏洞等級
高危,CVSS評分9.9
漏洞狀態:
4受影響的版本
- 11.9 <= GitLab(CE/EE)< 13.8.8
- 13.9 <= GitLab(CE/EE)< 13.9.6
- 13.10 <= GitLab(CE/EE)< 13.10.3
5安全版本
- GitLab(CE/EE) 13.8.8
- GitLab(CE/EE) 13.9.6
- GitLab(CE/EE) 13.10.3
6漏洞修復建議
騰訊安全專家建議受影響的用戶將GitLab升級到最新版本。
下載鏈接:https://about.gitlab.com/update/
7解決方案
騰訊T-Sec漏洞掃描服務已支持檢測企業資產是否存在Gitlab ExifTool遠程代碼執行漏洞(CVE-2021-22205);
騰訊T-Sec主機安全(云鏡)已支持檢測企業資產是否存在Gitlab ExifTool遠程命令執行漏洞(CVE-2021-22205);
騰訊T-Sec高級威脅檢測系統(NTA,御界)規則庫日期2021-10-28之后的版本,已支持檢測GitLab ExifTool遠程代碼執行漏洞攻擊(CVE-2021-22205)。
8時間線
2021年4月14日,GitLab官方發布風險通告;
2021年4月15日,騰訊安全發布風險通告;
2021年10月28日,騰訊安全發布在野利用風險通告。
參考鏈接:
https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/
