近期,研究人員發現GitLab的Web頁面中出現一個已修復關鍵遠端程式碼執行(RCE) 漏洞已被偵測到在野0day被利用,導致大量面向互聯網的GitLab實例極易受到攻擊。此風險漏洞CVE編號CVE-2021-22205.
3、漏洞影響:
儘管該漏洞最初被認為是經過身份驗證的RCE CVSS分配了9.9的評分,但由於未經身份驗證的可直接利用該漏洞,因此嚴重性評級在2021年9月21日修訂為CVSS評分10。
4、資料外洩風險:
儘管補丁已經公開發布了六個多月,但在60,000 個面向互聯網的GitLab中,據統計只有21%的實例針對該問題進行了修補,另外50% 的實例仍然容易受到RCE攻擊。
5、建議:
鑑於此漏洞的未經身份驗證的性質,預計利用活動會增加,因此GitLab用戶盡快更新至最新版本。此外,建議GitLab不應該是面向互聯網的服務,如果您需要從Internet存取您的GitLab,請考慮將其置於VPN之後。
相關漏洞參考分析>>
原创文章,作者:lyon,如若转载,请注明出处:https://cncso.com/tw/gitlabs-unauthorized-remote-code-execution-rce-vulnerability-without-identity-verification-html