Vulnérabilité d’exécution de code à distance sur GitLab

GitLab est un logiciel libre et une plateforme collaborative qui permet de planifier des projets, de gérer le code source et la sécurité des logiciels en cours de développement. GitLab utilise « Git » comme outil de gestion de code pour accéder à des projets publics ou privés via une interface Web.

Une vulnérabilité CVE-2022-2185 dont l’impact est jugé critique (score CVSS 9,9) a été découverte. Elle affecte à la fois la version libre et celle d’Entreprise de GitLab. Son exploitation permettrait à un utilisateur autorisé ou non d’exécuter du code arbitraire sur le serveur en utilisant la fonction d’importation de projet.

RISQUES DE SÉCURITÉ

  • Compromission de la confidentialité, l’intégrité et de la disponibilité de l’instance
  • Prise de contrôle du serveur
  • Divulgation d’informations et Vol de données
  • Usurpation d’identité

SYSTEMES AFFECTÉS

  • Toutes les versions inférieures à la version 10.5
  • Toutes les versions inférieures à la version 0.4
  • Toutes les versions inférieures à la version 15.1.1

MESURES À PRENDRE

Il est fortement recommandé d’effectuer une mise à jour vers la dernière version de GitLab.


Source : bjCSIRT