GitLab 4月远程代码执行漏洞
发布时间 2021-04-150x00 漏洞概述
CVE ID | 时 间 | 2021-04-15 | |
类 型 | RCE | 等 级 | 严重 |
远程利用 | 是 | 影响范围 | |
PoC/EXP | 未公开 | 在野利用 |
0x01 漏洞详情
GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。
2021年04月14日,Gitlab发布安全公告,公开了GitLab社区版(CE)和企业版(EE)中的一个远程代码执行漏洞,其CVSS评分为9.9。该漏洞是由于GitLab没有正确验证传递到文件解析器的image文件而导致的远程命令执行。
影响范围
Gitlab CE/EE < 13.8.8
Gitlab CE/EE < 13.9.6
Gitlab CE/EE < 13.10.3
0x02 处置建议
目前官方已修复了此漏洞,建议升级至以下版本:
Gitlab CE/EE 13.8.8
Gitlab CE/EE 13.9.6
Gitlab CE/EE 13.10.3
下载链接:
https://about.gitlab.com/update/
0x03 参考链接
https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/
https://www.ruby-lang.org/en/news/2021/04/05/xml-round-trip-vulnerability-in-rexml-cve-2021-28965/
https://about.gitlab.com/update/
0x04 时间线
2021-04-14 GitLab发布安全公告
2021-04-15 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
京公网安备11010802024551号