I. Descrição

Em 14 de abril de 2021, o GitLab publicou um comunicado de segurança para abordar a CVE-2021-22205, uma vulnerabilidade crítica de execução remota de código na interface web do serviço, a qual tem sido explorada na Internet. O GitLab não estava validando corretamente os arquivos de imagem passados para um analisador de arquivos, o que resultou em uma execução remota de comando. A POC desta vulnerabilidade foi publicada, e o risco atrelado à vulnerabilidade é alto.

O GitLab é uma plataforma totalmente integrada para desenvolvimento de software baseada em Git. Se você for um usuário do GitLab, verifique seu sistema e implemente medidas para a mitigação de riscos à segurança prontamente.

Referência: https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/

II. Gravidade

Gravidade: importante

(Gravidade: baixa, moderada, importante e crítica)

III. Produtos afetados

Versões afetadas:

11.9 <= GitLab (CE/EE) < 13.8.8

13.9 <= GitLab (CE/EE) < 13.9.6

13.10 <= GitLab (CE/EE) < 13.10.3

Versões seguras:

GitLab (CE/EE) 13.8.8

GitLab (CE/EE) 13.9.6

GitLab (CE/EE) 13.10.3

IV. Tratamento da vulnerabilidade

Essa vulnerabilidade foi corrigida nos lançamentos oficiais mais recentes. Caso a sua versão faça parte do escopo afetado, atualize-a para uma segura.

Link: https://about.gitlab.com/update/

Observação: antes de corrigir vulnerabilidades, faça o backup dos seus arquivos e realize um teste completo.