Ir para conteúdo

Alerta de Vulnerabilidades - GitLab

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Versões GitLab CE/EE posteriores a 11.9
ECOSSISTEMA
Outro
Descrição

A GitLab publicou uma atualização de segurança para corrigir uma vulnerabilidade de Execução de Código Remoto (CVE-2021-22205) no GitLab Community Edition (CE) e Enterprise Edition (EE).
O GitLab não estaria a validar adequadamente os ficheiros de imagem que são enviados para o parser, o que poderia resultar numa execução remota de comandos.[1]
Esta vulnerabilidade está a ser ativamente explorada. 


Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite a um atacante não autenticado a execução de código remoto. 


Resolução

Recomenda-se a atualização das versões dos produtos afetados para a sua versão mais recente:

  • 13.10.3;
  • 13.9.6; e
  • 13.8.8.

Referências

[1] https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/#Remote-code-execution-when-uploading-specially-crafted-image-files
[2] https://www.rapid7.com/blog/post/2021/11/01/gitlab-unauthenticated-remote-code-execution-cve-2021-22205-exploited-in-the-wild/ 
[3] https://attackerkb.com/topics/D41jRUXCiJ/cve-2021-22205/rapid7-analysis?referrer=blog 

Última atualização em 13-12-2020