2021年10月28日,阿里云应急响应中心监测到近日互联网上披露 CVE-2021-22205 Gitlab exiftool 远程命令执行漏洞在野利用事件。
01
漏洞描述
GitLab 是由GitLab Inc.开发,一款基于Git 的完全集成的软件开发平台。2021年4月14日 Gitlab 官方发布安全更新,披露了CVE-2021-22205 Gitlab exiftool 远程命令执行漏洞,攻击者通过上传恶意图片可触发远程命令执行,控制服务器。2021年10月,阿里云应急响应中心监测到互联网上披露 CVE-2021-22205 Gitlab exiftool 远程命令执行漏洞在野利用事件及其新型漏洞利用方式,由于 Gitlab 某些端点路径无需授权,攻击者可在无需认证的情况下完成图片上传,从而执行任意命令。阿里云应急响应中心提醒 Gitlab 用户尽快采取安全措施阻止漏洞攻击。
02
漏洞评级
CVE-2021-22205 Gitlab exiftool 远程命令执行漏洞 严重
| 漏洞细节 | 漏洞PoC | 漏洞EXP | 在野利用 |
| 公开 |
公开 |
公开 |
存在 |
03
03
03
影响版本
11.9 <= GitLab(CE/EE)< 13.8.8
13.9 <= GitLab(CE/EE)< 13.9.6
13.10 <= GitLab(CE/EE)< 13.10.3
04
03
03
安全版本
GitLab(CE/EE) 13.8.8
GitLab(CE/EE) 13.9.6
GitLab(CE/EE) 13.10.3
05
安全建议
1、利用阿里云安全组功能设置 Gitlab 仅对可信地址开放
2、尽快升级Gitlab至最新版本。
06
相关链接
1、https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/
原文始发于微信公众号(阿里云应急响应):【风险通告】Gitlab exiftool 远程命令执行漏洞在野利用(CVE-2021-22205)
