Unauthenticated Remote Code Execution Pada GitLab < 13.10.3

Pada 14 April 2021, GitLab menerbitkan rilis keamanan untuk mengatasi CVE-2021-22205, kerentanan eksekusi kode atau yang sering kita dengar dengan Remote Code Execution (RCE) yang fatal pada web layanan GitLab. Pada saat itu, GitLab menggambarkan masalah ini sebagai kerentanan terauntentikasi yang merupakan hasil dari pengiriman gambar yang disematkan kode berbahaya menggunakan ExifTool, penyerang jarak jauh atau bisa disebut dengan Hacker dapat mengeksekusi perintah arbitrer sebagai pengguna git karena kesalahan penanganan file DjVU ExifTool, masalah yang kemudian ditetapkan sebagai CVE-2021-22205.


CVE-2021-22205 awalnya diberi skor CVSSv3 9,9. Namun pada 21 September 2021, GitLab merevisi skor CVSSv3 menjadi 10.0.

Peningkatan skor tersebut adalah hasil dari perubahan kerentanan dari bug yang terautentikasi menjadi bug yang tidak terautentikasi (Unauthenticated). Meskipun ada pergerakan kecil dalam skor CVSS, bug tersebut memiliki implikasi besar bagi para pengguna GitLab.

Tim peneliti kerentanan Rapid7 memiliki analisis akar penyebab kerentanan CVE-2021-22205 di AttackerKB


Menurut penasihat GitLab April 2021, CVE-2021-22205 mempengaruhi semua versi GitLab Enterprise Edition (EE) dan GitLab Community Edition (CE) mulai dari versi 11.9, berikut adalah beberapa kerentanan pada CVE-2021-22205 GitLab pada versi:

  • 13.10.3
  • 13.9.6
  • 13.8.8
Sekian berita yang saya sampaikan, maaf apabila ada kesalahan dalam penulisan. (niqoqinth/pohonilmu)

Anda mungkin menyukai postingan ini