Código de ejecución remota que no requiere autenticación en GitLab - CVE-2021-22205 subió de puntuación
AS-108-2021
Fecha: 2/Nov/2021
Resumen:
La vulnerabilidad CVE-2021-22205 se le asignó inicialmente una puntuación CVSSv3 de 9.9. Sin embargo, el 21 de septiembre de 2021, GitLab actualizó la puntuación CVSSv3 a 10.0. El aumento en la puntuación fue el resultado de cambiar la vulnerabilidad de un problema autenticado a un problema no autenticado. A pesar del pequeño movimiento en el puntaje de CVSS, un cambio de autenticado a no autenticado tiene implicaciones fuertes.
Hay múltiples exploits públicos para esta vulnerabilidad, explotados desde junio a julio de 2021.
Recomendación
CVE-2021-22205 afecta a todas las versiones de GitLab Enterprise Edition (EE) y GitLab Community Edition (CE) a partir de 11.9. La vulnerabilidad se parcheó en las siguientes versiones:
13.10.3
13.9.6
13.8.8
Referencia:
FIRST