CVE-2021-22205 vulnerabilidad en Gitlab que puede conducir a una ejecución remota de código

AS-105-2021

Fecha:  27/Oct/2021

Resumen:

El portal de Humanativaspa informa que la vulnerabilidad CVE-2021-22205, que afecta a Gitlab, está siendo explotada activamente.

El fallo fue descubierto en GitLab CE/EE, y afecta a todas las versiones desde la 11.9 hasta la 13.10.2. GitLab  no valida apropiadamente las imágenes que son enviadas al componente Workhorse que depende de ExifTool, el mismo que reporto fallos de ejecución remota de código con el CVE-2021-22204.

La vulnerabilidad puede ser explotada sin necesidad de autenticación con dos peticiones http. Humanativaspa, indica que su seguimiento al fallo surgió después de observar que los atacantes crearon cuentas estandar en el repositorio, y escalaron privilegios hasta convertirse en administradores.

Humanativaspa indica, además, que la versión Gitlab 14.4.0 ya no presenta las vulnerabilidades del componente ExifTool. Es recomendable actualizar el producto a la versión más estable liberada por el fabricante, con el fin de remediar los fallos.

Referencias:

https://security.humanativaspa.it/gitlab-ce-cve-2021-22205-in-the-wild/

https://github.com/CsEnox/Gitlab-Exiftool-RCE

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22205