GitLab publie des correctifs de sécurité urgents pour une vulnérabilité critique

20 septembre 2023THNVulnérabilité / Sécurité logicielle

GitLab a livré des correctifs de sécurité pour résoudre une faille critique qui permet à un attaquant d’exécuter des pipelines en tant qu’autre utilisateur.

Le problème, suivi comme CVE-2023-5009 (score CVSS : 9,6), impacte toutes les versions de GitLab Enterprise Edition (EE) à partir de 13.12 et antérieures à 16.2.7 ainsi qu’à partir de 16.3 et avant 16.3.4.

« Il était possible pour un attaquant de exécuter des pipelines en tant qu’utilisateur arbitraire via des politiques d’analyse de sécurité planifiées », GitLab dit dans un avis. « Il s’agissait d’un contournement de CVE-2023-3932 montrant un impact supplémentaire.

Une exploitation réussie de CVE-2023-5009 pourrait permettre à un acteur malveillant d’accéder à des informations sensibles ou d’exploiter les autorisations élevées de l’utilisateur usurpé pour modifier le code source ou exécuter du code arbitraire sur le système, entraînant de graves conséquences.

Le chercheur en sécurité Johan Carlsson (alias joaxcar) a été reconnu pour avoir découvert et signalé la faille. CVE-2023-3932 a été résolu par GitLab début août 2023.

La vulnérabilité a été corrigée dans les versions 16.3.4 et 16.2.7 de GitLab.

Cette divulgation intervient alors qu’un bug critique de GitLab vieux de deux ans (CVE-2021-22205, score CVSS : 10,0) continue d’être activement exploité par les acteurs malveillants dans le cadre d’attaques réelles.

Plus tôt cette semaine, Trend Micro a révélé qu’un adversaire lié à la Chine, connu sous le nom de Earth Lusca, cible de manière agressive les serveurs publics en exploitant les failles de sécurité N-day, notamment CVE-2021-22205, pour infiltrer les réseaux des victimes.

Il est fortement recommandé aux utilisateurs de mettre à jour leurs installations GitLab vers la dernière version dès que possible pour se prémunir contre les risques potentiels.