本文详细介绍了 GitLab 远程代码执行漏洞（CVE-2021-22205） 的原理分析与实战复现。该漏洞源于 GitLab 对用户上传图片文件的处理逻辑缺陷，由于其内部集成的 ExifTool 在解析图像元数据（Metadata）时未能正确过滤恶意构造的脚本命令，导致攻击者无需通过身份验证（Unauthenticated），即可在目标服务器上执行任意代码。该漏洞因其“无需登录”且“权限极高”的特性，被评估为 CVSS 满分 10.0 的严重风险。