【漏洞复现】 CVE-2021-22205 GitLab 远程命令执行漏洞(RCE)

0x01 漏洞背景描述

2021年4⽉15⽇,GitLab官方发布安全补丁更新修复了GitLab命令执行漏洞(CVE-2021- 22205)。由于GitLab中的ExifTool没有对传⼊的图像文件的扩展名进行正确处理,攻击者通过 上传特制的恶意图片,可以在目标服务器上执行任意命令,且发现由于GitLab存在未授权的端点,导致该漏洞在无需进行身份验证的情况下即可进行利用,社区版(CE)和企业版(EE)皆受影 响,CVSS评分为9.9。

GitLab 是一个基于 Web 的 DevOps 生命周期工具,它提供了一个 Git 存储库管理器,可提供 wiki、问题跟踪以及持续集成和部署管道功能

在 GitLab CE/EE 中发现了一个问题,影响了从 11.9 开始的版本。GitLab 没有正确验证传递给文件解析器的图像文件,这导致了未经身份验证的远程命令执行

0x02 漏洞影响版本

11.9 <= Gitlab CE/EE < 13.8.8 
13.9 <= Gitlab CE/EE < 13.9.6 
13.10 <= Gitlab CE/EE < 13.10.3

0x03 漏洞复现

漏洞环境下载:

https://vulhub.org/#/environments/gitlab/CVE-2021-22205/

  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李火火安全阁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值