GitLab corrige une vulnérabilité de prise de contrôle de compte de haute gravité

GitLab, la populaire plateforme DevOps en ligne, a publié des mises à jour de sécurité urgentes pour la Community Edition (CE) et l’Enterprise Edition (EE) afin de corriger plusieurs vulnérabilités critiques, y compris la prise de contrôle de comptes par des attaquants non authentifiés dans des attaques de script intersite (XSS).

Vulnérabilité de prise de contrôle de compte de haute gravité

La vulnérabilité la plus sévère, CVE-2024-4835 (CVSS 8.0), est une vulnérabilité XSS dans l’éditeur de code VS (Web IDE) sur gitlab.com qui permet à un attaquant de créer une page malveillante pour exfiltrer des informations sensibles sur les utilisateurs, ce qui peut conduire à une prise de contrôle complète du compte.

Bien que l’exploitation réussie ne nécessite aucune authentification, elle nécessite tout de même une interaction de l’utilisateur, ce qui augmente la complexité des attaques.

Le chercheur en sécurité matanber a découvert et signalé le problème à GitLab via la plateforme de bug bounty HackerOne. Il a été corrigé le 22 mai 2024, avec les versions 17.0.1, 16.11.3 et 16.10.6.

« Aujourd’hui, nous publions les versions 17.0.1, 16.11.3 et 16.10.6 pour GitLab Community Edition (CE) et Enterprise Edition (EE) », a déclaré GitLab dans un communiqué de presse sur la sécurité mercredi.

« Ces versions contiennent d’importants correctifs de bogues et de sécurité, et nous recommandons fortement que toutes les installations de GitLab soient mises à niveau vers l’une de ces versions immédiatement. »

Vulnérabilités supplémentaires de gravité moyenne corrigées

En plus de ce qui précède, l’entreprise a également corrigé les six failles de sécurité de gravité moyenne suivantes dans GitLab CE/EE énumérées ci-dessous :

• CVE-2024-2874 : Cette vulnérabilité de déni de service (DoS) dans le champ « description » du runner affecte tous les GitLab CE/EE des versions jusqu’à 16.10.6, les versions 16.11 jusqu’à 16.11.3, et 17.0 jusqu’à 17.0.1. Un runner enregistré avec une description malveillante a le potentiel de perturber le chargement des ressources web ciblées de GitLab.

• CVE-2023-7045 : En exploitant cette vulnérabilité, un attaquant pourrait exfiltrer des jetons anti-CSRF (Cross-Site Request Forgery) via le Kubernetes Agent Server (KAS). Cette vulnérabilité CSRF existe dans GitLab CE/EE des versions 16.3 jusqu’à 16.10.6, de 16.11 jusqu’à 16.11.3, et de 17.0 jusqu’à 17.0.1.

• CVE-2023-6502 : Cette vulnérabilité permet à un attaquant de provoquer un DoS en utilisant une page wiki malveillante. Cette condition de DoS a été découverte dans GitLab CE/EE affectant toutes les versions avant 16.10.6, la version 16.11 avant 16.11.3, et 17.0 avant 17.0.1.

• CVE-2024-1947 : En exploitant cette vulnérabilité, un attaquant pourrait créer une condition de DoS en envoyant des appels API malveillants. Cette condition de DoS a été trouvée dans GitLab CE/EE, affectant toutes les versions de 13.2.4 à 16.10.6, de 16.11 à 16.11.3, et de 17.0 à 17.0.1.

• Une vulnérabilité d’autorisation dans l’API « Set Pipeline Status of a Commit » pourrait être exploitée par un attaquant authentifié en utilisant une convention de nommage malveillante pour contourner la logique d’autorisation de pipeline. Elle a été trouvée dans GitLab des versions 16.10 jusqu’à 16.10.6, 16.11 jusqu’à 16.11.3, et 17.0 jusqu’à 17.0.1. Cette vulnérabilité n’a pas encore reçu d’ID CVE (Common Vulnerability and Exposure).

• Cette vulnérabilité, qui n’a pas encore reçu d’ID CVE, permet à un utilisateur invité de voir les listes de dépendances de projets privés via des artefacts de travail. Elle a été découverte dans GitLab CE/EE affectant toutes les versions à partir de 11.11 avant 16.10.6, à partir de 16.11 avant 16.11.3, et à partir de 17.0 avant 17.0.1.

Pour se protéger contre les vulnérabilités mentionnées ci-dessus, il est fortement recommandé aux utilisateurs de GitLab de mettre à niveau leurs installations vers l’une des dernières versions publiées, 17.0.1, 16.11.3 et 16.10.6, dès que possible.