GitLab 远程命令执行漏洞
- CNNVD编号:CVE-2021-22205
- 危害等级: 高危
- CVE编号:未知
- 漏洞类型: 远程代码执行
- 威胁类型:远程
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2021-10-27
- 更新时间:2021-10-27
漏洞简介
1、组件介绍
GitLab 是由 GitLabInc. 开发,使用 MIT 许可证的基于网络的Git 仓库管理工具,具有 issue 跟踪功能。它是使用 Git 作为代码管理工具,并在此基础上搭建起来的 web 服务。
2、漏洞描述
2021年10月26日,深信服安全团队监测到一则 GitLab 组件存在远程命令执行漏洞的信息,漏洞编号:CVE-2021-22205,漏洞威胁等级:严重。
该漏洞是由于 GitLab 没有正确的处理传入的图像文件,导致攻击者可利用该漏洞构造恶意数据执行远程命令,最终造成服务器敏感性信息泄露。
漏洞公示
暂无
受影响实体
GitLab 可以运行在几乎所有计算机平台上,由于其跨平台和安全性被广泛使用,成为最流行的仓库管理系统项目之一。全球有数十万 GitLab 云托管服务器,可能受漏洞影响的资产广泛分布于世界各地,中国大陆省份中,浙江、广东、山东、北京、上海等省市位于前列。
目前受影响的 GitLab 版本:
11.9 <= GitLab(CE/EE)< 13.8.8
13.9 <= GitLab(CE/EE)< 13.9.6
13.10 <= GitLab(CE/EE)< 13.10.3
补丁
1、如何检测组件系统版本
右上角找到help,点击选择栏中的“帮助”,即可看到版本信息。
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://packages.gitlab.com/gitlab/
