美國網路安全暨基礎設施安全局(CISA)警告,開源原始碼管理與DevOps平臺GitLab已修補多年的漏洞CVE-2021-39935,近期出現實際濫用跡象,要求聯邦機關限期完成修補,也呼籲所有組織將修補該漏洞列為優先事項,以降低持續進行中的攻擊風險。
這項漏洞CVSS v3.1風險分數為7.5分,屬於高風險(High)等級。根據美國國家漏洞資料庫(NVD)說明,CVE-2021-39935屬於伺服器端請求偽造(Server-Side Request Forgery,SSRF)漏洞。攻擊者可藉由濫用CI Lint API,誘使目標伺服器對內部或外部資源發送未預期請求,可能導致敏感資訊外洩或內部服務暴露。
GitLab已於2021年12月發布安全更新修補此漏洞。官方指出,早於14.3.6版、14.4.4版,以及14.5.2版的版本均受影響;用戶應依所用版本的系列,分別升級至14.3.6、14.4.4或14.5.2以上版本,才能排除風險。
CISA指出,已觀測到攻擊者實際利用CVE-2021-39935發動攻擊,並於今年2月3日將其納入已知遭利用漏洞(KEV)清單,要求聯邦機關在期限內完成修補,否則須停止使用存在風險的系統。
值得注意的是,CVE-2021-39935公布至今已超過4年,卻仍出現在近期攻擊行動中,顯示部分組織可能未完成版本盤點與更新作業。這類已發布修補多年的「舊漏洞」,往往因為系統長期運行或權限設定複雜,而成為攻擊者反覆利用的目標。
企業除了確認GitLab版本,也應重新檢視使用者註冊政策與外部帳號權限設定,同時定期比對CISA KEV清單,將已出現實際濫用跡象的漏洞列為優先修補項目,以降低潛在入侵風險。
熱門新聞
2026-03-02
2026-03-02
2026-03-02
2026-03-02
2026-03-02
2026-02-26
2026-03-02