Multiples vulnérabilités critiques dans Gitlab

Risques

• Exécution de code arbitraire
• Atteinte à la confidentialité des données
• Atteinte à l’intégrité des données

Criticité

• Score CVSS v3.1: 8.8 max

La faille est activement exploitée

• Non, pour l’ensemble des CVE présentées.

Un correctif existe

• Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

• Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

Pour la CVE-2022-1680

CWE-284: Improper Access Control

Pour la CVE-2022-1948

CWE-79: Improper Neutralization of Input During Web Page Generation

Détails sur l’exploitation

Pour la CVE-2022-1680

• Vecteur d’attaque : Réseau.
• Complexité de l’attaque : Faible.
• Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-1948

• Vecteur d’attaque : Réseau.
• Complexité de l’attaque : Faible.
• Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Les produits suivants sont affectés par ces vulnérabilités :

Pour la CVE-2022-1680

• GitLab Community Edition (CE) et Enterprise Edition (EE) aux versions antérieures à 14.9.5.
• GitLab Community Edition (CE) and Enterprise Edition (EE) aux versions 14.10.x antérieures à 14.10.4.
• GitLab Community Edition (CE) and Enterprise Edition (EE) aux versions 15.0.x antérieures à 15.0.1.

Pour la CVE-2022-1948

• GitLab Community Edition (CE) and Enterprise Edition (EE) aux versions 15.0.x antérieures à 15.0.1.

• Des mises à jour correctives sont disponibles pour les clients GitLab concernant l’ensemble des produits affectés. Des informations complémentaires sont disponibles ici.