Alerta de Vulnerabilidades - GitLab
A GitLab publicou uma atualização de segurança para corrigir uma vulnerabilidade de Execução de Código Remoto (CVE-2021-22205) no GitLab Community Edition (CE) e Enterprise Edition (EE).
O GitLab não estaria a validar adequadamente os ficheiros de imagem que são enviados para o parser, o que poderia resultar numa execução remota de comandos.[1]
Esta vulnerabilidade está a ser ativamente explorada.
Caso esta vulnerabilidade seja explorada com sucesso, permite a um atacante não autenticado a execução de código remoto.
Recomenda-se a atualização das versões dos produtos afetados para a sua versão mais recente:
- 13.10.3;
- 13.9.6; e
- 13.8.8.
[1] https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/#Remote-code-execution-when-uploading-specially-crafted-image-files
[2] https://www.rapid7.com/blog/post/2021/11/01/gitlab-unauthenticated-remote-code-execution-cve-2021-22205-exploited-in-the-wild/
[3] https://attackerkb.com/topics/D41jRUXCiJ/cve-2021-22205/rapid7-analysis?referrer=blog