Gitlab远程命令执行漏洞在野利用预警（CVE-2021-22205）

2021-11-01

一、概要

近日，华为云关注到Gitlab官方在2021年4月14日发布的安全更新公告中披露的Gitlab远程命令执行漏洞（CVE-2021-22205）在互联网上已出现在野攻击利用。由于Gitlab没有正确验证传递给解析器的图像文件，攻击者利用漏洞上传专门制作的图像文件可导致执行远程代码执行，目前漏洞POC已公开，风险较高。

GitLab 是一款基于 Git 的完全集成的软件开发平台。华为云提醒使用GitLab的用户尽快安排自检并做好安全加固。

参考链接：https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

11.9 <=  GitLab（CE/EE）< 13.8.8

13.9 <=  GitLab（CE/EE）< 13.9.6

13.10 <= GitLab（CE/EE）< 13.10.3

安全版本：

GitLab（CE/EE） 13.8.8

GitLab（CE/EE） 13.9.6

GitLab（CE/EE） 13.10.3

四、漏洞处置

目前，官方已在新版本修复了该漏洞，请受影响的用户尽快升级到安全版本：

下载地址：https://about.gitlab.com/update/

华为云WAF具备对该漏洞防御能力。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。

注：修复漏洞前请将资料备份，并进行充分测试。