GitLab a publié Mises à jour de sécurité pour corriger 14 failles de sécurité, dont une vulnérabilité critique qui pourrait être exploitée pour exécuter des pipelines d’intégration continue et de déploiement continu (CI/CD) comme n’importe quel utilisateur.
Les faiblesses, qui affectent GitLab Community Edition (CE) et Enterprise Edition (EE), ont été corrigées dans les versions 17.1.1, 17.0.3 et 16.11.5.
La plus grave des vulnérabilités est CVE-2024-5655 (score CVSS : 9,6), ce qui pourrait permettre à un acteur malveillant de déclencher un pipeline en tant qu’autre utilisateur dans certaines circonstances.
Cela affecte les versions suivantes de CE et EE –
- 17.1 avant 17.1.1
- 17.0 avant 17.0.3, et
- 15.8 avant le 16.11.5
GitLab a déclaré que le correctif introduit deux changements majeurs à la suite desquels l’authentification GraphQL à l’aide de CI_JOB_TOKEN est désactivée par défaut et les pipelines ne s’exécuteront plus automatiquement lorsqu’une demande de fusion est reciblée après la fusion de sa branche cible précédente.
Certains des autres défauts importants corrigés dans le cadre de la dernière version sont répertoriés ci-dessous :
- CVE-2024-4901 (score CVSS : 8,7) – Une vulnérabilité XSS stockée pourrait être importée d’un projet contenant des notes de validation malveillantes
- CVE-2024-4994 (score CVSS : 8,1) – Une attaque CSRF sur l’API GraphQL de GitLab conduisant à l’exécution de mutations GraphQL arbitraires
- CVE-2024-6323 (Score CVSS : 7,5) – Une faille d’autorisation dans la fonction de recherche globale qui permet la fuite d’informations sensibles d’un référentiel privé au sein d’un projet public
- CVE-2024-2177 (score CVSS : 6,8) – Une vulnérabilité de falsification multi-fenêtres qui permet à un attaquant d’abuser du flux d’authentification OAuth via une charge utile contrefaite.
Bien qu’il n’y ait aucune preuve d’exploitation active des failles, il est recommandé aux utilisateurs d’appliquer les correctifs pour atténuer les menaces potentielles.