VMware|盘点 | 2021年十大网络安全漏洞( 三 )


十、GitLab未授权远程命令执行漏洞GitLab是由GitLab Inc.开发 , 一款基于Git的完全集成的软件开发平台 。
2021年4?14? , GitLab 官?发布安全通告 , GitLab CE/EE 中存在认证 RCE 漏洞 , 并分配漏洞编号CVE-2021-22205 , 随后也有相关的POC公布 , 但由于需要认证 , 该漏洞影响范围有限 。
2021年10月25日 , HN Security发文称 , 有在野攻击者通过访问特定端点未认证利用了该 RCE 漏洞 , 并公开了攻击者使用的payload 。 随后国内外安全厂商陆续检测到该漏洞的在野利用 。 漏洞利用难度的降低 , 带来的是漏洞影响范围的扩大 , 影响有限的漏洞也能发挥出惊人的破坏力 。
漏洞涉及CVE编号:CVE-2021-22205