漏洞描述:
GitLab是一款Ruby开发的Git项目管理平台。在11.9以后的GitLab中,因为使用了图片处理工具ExifTool而受到漏洞CVE-2021-22204的影响,攻击者可以通过一个未授权的接口上传一张恶意构造的图片,进而在GitLab服务器上执行任意命令
影响版本:
11.9 <= GitLab(CE/EE)< 13.8.8
13.9 <= GitLab(CE/EE)< 13.9.6
13.10 <= GitLab(CE/EE)< 13.10.3
VulHub复现:
docker-compose up -d
访问:http://127.0.0.1:8080/users/sign_in
vulhub自带 exp: python3 poc.py http://127.0.0.1:8080/ "touch /tmp/success"
验证