威尼斯432888cam(中国集团)有限公司-企业百科


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

9.9分漏洞在野利用!GitLab远程命令执行漏洞被公开
发布时间 :2021年10月28日
分享:

漏洞描述


2021年10月28日,威尼斯432888camCERT监控到GitLab远程命令执行漏洞(CVE-2021-22205)在野利用工具被公开,这意味着黑客可直接利用该攻击代码实施入侵攻击。具体而言,GitLab某些端点的路径存在无需授权风险,攻击者可在无需认证的情况下完成图片上传,并利用该漏洞构造恶意数据执行远程命令,最终造成服务器敏感信息泄露或执行任意命令。该漏洞CVSS3.0评分9.9分,定级为严重漏洞。


威尼斯432888camCERT建议使用GitLab的客户尽快自查所使用版本并修复漏洞。


GitLab是美国GitLab Inc.公司开发的一款开源代码仓库管理系统。它使用Git来作为代码管理工具,同时具备issus跟踪功能,还支持私有化本地部署,极大程度上保障了代码的内部私有化管理。


漏洞编号


CVE-2021-22205 :GitLab远程命令执行漏洞


漏洞状态


微信图片_20211115155414.jpg


受影响的版本


 GitLab(CE/EE)>= 11.9 ,< 13.8.8

 GitLab(CE/EE)>= 13.9 ,< 13.9.6

 GitLab(CE/EE)>= 13.10 ,< 13.10.3

 

修复建议


目前官方已发布 GitLab 的安全修复版本,请及时更新到安全版本:

 GitLab(CE/EE)13.8.8

 GitLab(CE/EE)13.9.6

 GitLab(CE/EE)13.10.3

 

参考链接


https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/

分享到微信
X