发布日期：2020-10-07
更新日期：2020-11-10

受影响系统：

GitLab GitLab < 13.2.4
GitLab GitLab 13.4.1
GitLab GitLab 13.3.2

描述：

---

CVE(CAN) ID: CVE-2020-13347

GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git（版本控制系统）项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。
Gitlab runner 13.2.4之前版本、13.3.2版本和13.4.1版本存在命令注入漏洞。攻击者可在Windows系统上使用docker executor配置运行程序时通过DOCKER_AUTH_CONFIG构建变量，利用该漏洞在Windows主机上运行任意命令。

<**>

建议：

---

厂商补丁：

GitLab
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
https://www.gitlab.com/
https://hackerone.com/users/sign_in

浏览次数：783
严重程度：0（网友投票）