一、 漏洞详情

GitLab是由GitLab Inc.开发，一款基于Git的完全集成的软件开发平台。

2021年4月14日Gitlab官方发布安全更新，披露了CVE-2021-22205 Gitlab exiftool 远程命令执行漏洞，攻击者通过上传恶意图片可触发远程命令执行，控制服务器。近期，互联网上披露CVE-2021-22205 Gitlab exiftool远程命令执行漏洞在野利用事件及其新型利用方式，由于Gitlab某些端点路径无需授权，攻击者可在无需认证的情况下完成图片上传，从而执行任意命令。

二、 影响范围

11.9 <= GitLab（CE/EE）< 13.8.8

13.9 <= GitLab（CE/EE）< 13.9.6

13.10 <= GitLab（CE/EE）< 13.10.3

三、 修复建议

尽快升级Gitlab至最新版本。

相关链接：https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/