Vulnérabilités dans Gitlab Community Edition et Enterprise Edition
Date de publication :
Gitlab, la plateforme de développement collaborative, a publié un bulletin de sécurité évoquant la disponibilité de trois nouvelles versions. Il s’agit des versions 145.5.2, 14.5.3 et 14.4.5 pour les éditions suivantes : Gitlab Community Edition (CE) et Gitlab Enterprise Edition (EE).
Cette mise à jour permet d’apporter des correctifs concernant 12 vulnérabilités, en voici les 3 ayant un score élevé.
CVE-2022-0244 [Score CVSS v3.1: 8.6]
Une gestion incorrecte des fichiers a été identifié dans la plateforme. L’exploitation de cette vulnérabilité par un attaquant permet d’importer un groupe susceptible de lire n'importe quel fichier du dépôt.
CVE-2021-39946 [Score CVSS v3.1: 8.7]
Un contrôle incorrect des données entrées a été découvert dans la plateforme. Il est possible d'utiliser le générateur HTML pour emoji pour stocker du code malveillant. L’exploitation de cette vulnérabilité par un attaquant permet d'injecter du code malveillant et de stocker celui-ci sur la plateforme
CVE-2022-0154[Score CVSS v3.1: 7.5]
Un risque de falsification d’entrée de données a été identifié dans la plateforme. Il est possible d'utiliser des requêtes malveillantes permettant de transférer tout un projet sur le compte d’un autre utilisateur Gitlab.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Contournement de la politique de sécurité
- Injection de commande
- Atteinte à la confidentialité des données
Criticité
- Score CVSS v3.1: 8.7 max
La faille est activement exploitée
- Non, pour l’ensemble des CVE présentés.
Un correctif existe
- Oui, pour l’ensemble des CVE présentés.
Une mesure de contournement existe
- Non, pour l’ensemble des CVE présentés.
Les vulnérabilités exploitées sont du type
Pour la CVE-2022-0244
- CWE: Inconnue
Pour la CVE-2021-39946
- CWE: Inconnue
Pour la CVE-2022-0154
- CWE: Inconnue
Détails sur l’exploitation
Pour la CVE-2022-0244
- Vecteur d’attaque : réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour la CVE-2021-39946
- Vecteur d’attaque : réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : authentification utilisateur simple.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour la CVE-2022-0154
- Vecteur d’attaque : réseau
- Complexité de l’attaque : Haute
- Privilèges nécessaires pour réaliser l’attaque : authentification utilisateur simple.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
Pour la CVE-2022-0244
- Toutes les deux éditions (CE / EE) et toutes les versions à partir de 14.5.
Pour la CVE-2021-39946
- Toutes les deux éditions (CE / EE) et les versions 14.3 à 14.3.6, 14.4 à 14.4.4, et 14.5 à 14.5.2.
Pour la CVE-2022-0154
- Les versions à partir de 7.7 avant 14.4.5, les versions à partir de 14.5.0 avant 14.5.3, et toutes les versions à partir de 14.6.0 avant 14.5.2.
Solutions ou recommandations
- Effectuer la mise à jour vers la version 145.5.2, 14.5.3 et 14.4.5.