Código de ejecución remota que no requiere autenticación en GitLab - CVE-2021-22205 subió de puntuación

AS-108-2021

Fecha: 2/Nov/2021

Resumen:

La vulnerabilidad CVE-2021-22205 se le asignó inicialmente una puntuación CVSSv3 de 9.9. Sin embargo, el 21 de septiembre de 2021,  GitLab actualizó la puntuación CVSSv3 a 10.0. El aumento en la puntuación fue el resultado de cambiar la vulnerabilidad de un problema autenticado a un problema no autenticado. A pesar del pequeño movimiento en el puntaje de CVSS, un cambio de autenticado a no autenticado tiene  implicaciones fuertes.

Hay múltiples exploits públicos para esta vulnerabilidad, explotados desde junio a julio de 2021.

Recomendación

CVE-2021-22205 afecta a todas las versiones de GitLab Enterprise Edition (EE) y GitLab Community Edition (CE) a partir de 11.9. La vulnerabilidad se parcheó en las siguientes versiones:
13.10.3
13.9.6
13.8.8

Referencia:

https://www.rapid7.com/blog/post/2021/11/01/gitlab-unauthenticated-remote-code-execution-cve-2021-22205-exploited-in-the-wild/

FIRST