一、基本情况

GitLab是一个用于仓库管理系统的开源项目，使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。

近日，GitLab发布安全更新公告，修复了GitLab社区版(CE)和企业版(EE)存在一个远程命令执行漏洞，漏洞CVE编号：CVE-2021-22205。攻击者可利用该漏洞在目标服务器上执行任意命令。建议受影响用户将GitLab升级至最新版本进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

二、 漏洞等级

高危

三、 漏洞描述

该漏洞影响从11.9开始的所有版本，由于Gitlab未正确验证传递到文件解析器的图像文件从而导致命令执行。攻击者可构造恶意请求利用该漏洞在目标系统执行任意指令，最终导致Gitlab服务器被控制。

四、 影响范围

Gitlab CE/EE < 13.10.3

Gitlab CE/EE < 13.9.6

Gitlab CE/EE < 13.8.8

五、 安全建议

建议用户将GitLab社区版（CE）和企业版（EE）版本升级至13.10.3、13.9.6和13.8.8进行防护。

下载地址：https://about.gitlab.com/update

六、 参考链接

https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/

来源：https://cstis.cn/post/65a5b182-b8ff-850e-7acb-ab55ebcd7b57