Une vulnérabilité a été identifiée dans GitLab CE/EE, impactant toutes les versions de 16.0 à 16.5.8, 16.6 à 16.6.6, 16.7 à 16.7.4, et 16.8 à 16.8.1. Cette faille permet aux utilisateurs authentifiés d'écrire des fichiers n'importe où sur le serveur GitLab pendant le processus de création d'un espace de travail..
Suivi comme CVE-2024-0402, la vulnérabilité est élevée score CVSS de 9.9 de 10, soulignant sa gravité.
CVE-2024-0402: Bref aperçu technique
Le problème identifié affecte les versions GitLab CE/EE de 16.0 à 16.5.8, 16.6 à 16.6.6, 16.7 à 16.7.4, et 16.8 à 16.8.1. Il permet aux utilisateurs authentifiés d'écrire des fichiers dans des emplacements arbitraires sur le serveur GitLab lors de la création de l'espace de travail.. GitLab a rapidement résolu le problème avec les correctifs, rétroporté vers les versions 16.5.8, 16.6.6, 16.7.4, et 16.8.1.
En plus de corriger la faille critique, GitLab a corrigé quatre vulnérabilités de gravité moyenne dans la dernière mise à jour. Celles-ci incluent des vulnérabilités qui pourraient conduire à un déni de service d'expression régulière. (ReDoS), Injection HTML, et la divulgation involontaire de l'adresse e-mail publique d'un utilisateur via le flux RSS des balises.
Ce Libération fait suite à une mise à jour précédente de GitLab il y a deux semaines, où la plateforme DevSecOps a résolu deux lacunes critiques, dont l'un pourrait être exploité pour reprendre des comptes sans aucune interaction de l'utilisateur (CVE-2023-7028, Note CVSS: 10.0).
CVE-2023-7028 a été signalé par le chercheur en sécurité 'Asterion’ via la plateforme de bug bounty HackerOne. Il a été introduit en mai 1, 2023, avec version 16.1.0, affectant différentes versions, y compris ceux qui précèdent 16.7.2. GitLab recommande fortement aux utilisateurs de mettre à jour vers les versions corrigées (16.7.2, 16.5.6, et 16.6.4) ou implémenter le correctif, qui a été rétroporté vers les versions 16.1.6, 16.2.9, et 16.3.7.
Pour atténuer les risques potentiels, il est fortement conseillé aux utilisateurs de mettre rapidement à niveau leurs installations GitLab vers la version corrigée. Il est à noter que les environnements GitLab.com et GitLab Dedicated exécutent déjà la dernière version., soulignant l'importance de maintenir les logiciels à jour pour améliorer les mesures de sécurité et se protéger contre les menaces émergentes.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: