关于gitlab exiftool远程命令执行漏洞（cve-7411威尼斯

一、 漏洞详情

gitlab是由gitlab inc.开发，一款基于git的完全集成的软件开发平台。

2021年4月14日gitlab官方发布安全更新，披露了cve-2021-22205 gitlab exiftool 远程命令执行漏洞，攻击者通过上传恶意图片可触发远程命令执行，控制服务器。近期，互联网上披露cve-2021-22205 gitlab exiftool远程命令执行漏洞在野利用事件及其新型利用方式，由于gitlab某些端点路径无需授权，攻击者可在无需认证的情况下完成图片上传，从而执行任意命令。

二、 影响范围

11.9 <= gitlab（ce/ee）< 13.8.8

13.9 <= gitlab（ce/ee）< 13.9.6

13.10 <= gitlab（ce/ee）< 13.10.3

三、 修复建议

尽快升级gitlab至最新版本。

相关链接：https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/