gitlab SSRF(CVE-2021-22214)
| ID: | 16756 |
|---|---|
| 标题: | gitlab SSRF(CVE-2021-22214) |
| 描述: | gitlab SSRF(CVE-2021-22214) vulfocus/gitlab-cve_2021_22214:latest GitLab存在前台未授权SSRF漏洞。该漏洞源于对用户提供数据的验证不足,远程攻击者可通过发送特殊构造的 HTTP 请求,欺骗应用程序向任意系统发起请求。攻击者成功利用该漏洞可获得敏感数据的访问权限或向其他服务器发送恶意请求。 |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | 无 |
| writeup: |
验证后的网址 GitLab的CI lint API存在SSRF漏洞(CVE-2021-22214),攻击者可通过构造恶意YAML请求触发。Vulfocus提供该漏洞的Docker环境(vulfocus/gitlab-cve_2021_22214:latest),验证步骤包括拉取镜像、运行容器,并通过curl命令发送包含remote参数的请求至/api/v4/ci/lint接口,利用DNSLog检测回显 1。 https://www.anquanke.com/post/id/271555?from=timeline |