研究人员发现CVE-2021-22205 10分RCE漏洞在野利用。

　　2021年4月，GitLab发布安全公告修复了其服务web接口中的一个远程代码执行漏洞——CVE-2021-22205。Gitlab将漏洞描述为一个非认证的漏洞，是由传递用户提供的图像给服务嵌入的ExifTool工具导致的。远程攻击者利用该漏洞可以以Git用户执行任意任意命令。

　　CVE-2021-22205漏洞的CVSS评分为9.9分。9月21日，GitLab将该漏洞的CVSS评分从9.9分修改到10分。评分提高的原因是该漏洞从认证漏洞变成了非认证的漏洞。

　　在野利用

　　HN安全团队在10月份发布的现实攻击报告中指出，在6月-7月的两个月里，攻击者用2个看起来比较随机的用户名注册了两个具有管理员权限的用户：

　　但是注册过程中指定的邮件地址默认是没有经过验证的，因此新创建的用户可以自动登录。这个过程中也不会发送其他通知给管理员。

　　随后研究人员发现，攻击者用2个新创建的用户登录到Gitlab服务器，并执行了以下操作：

　　?用户注册和登入；

　　?滥用Gitlab API列出所有项目，其中包括私有项目；

　　?上传附件到项目中。

　　上传的附件其实就是恶意payload。漏洞在野利用中使用的payload可以执行逆向shell，将前面两个新注册的用户权限提升到admin。此外，还可以其他payload来实现远程代码执行。因为整个漏洞利用过程只有2个请求：在默认gitlab安装中无需滥用API来找到有效的项目，无需打开和进行认证：

　　获取CSRF token的请求

　　执行非认证的恶意payload上传的请求

　　漏洞影响

　　CVE-2021-22205漏洞影响11.9之后的所有gitlab企业版和gitlab社区版。

　　补丁

　　漏洞已在以下版本中修复：

　　13.10.3

　　13.9.6

　　13.8.8