GitLab a livré une nouvelle série de mises à jour pour combler les failles de sécurité de sa plateforme de développement logiciel, notamment un bug critique qui permet à un attaquant d’exécuter des tâches de pipeline en tant qu’utilisateur arbitraire.
Identifiée comme CVE-2024-6385, la vulnérabilité porte un score CVSS de 9,6 sur un maximum de 10,0.
« Un problème a été découvert dans GitLab CE/EE affectant les versions 15.8 antérieures à 16.11.6, 17.0 antérieures à 17.0.4 et 17.1 antérieures à 17.1.2, ce qui permet à un attaquant de déclencher un pipeline sous le nom d’un autre utilisateur dans certaines circonstances », a indiqué la société. dit dans un avis publié mercredi.
Il convient de noter que la société a corrigé un bug similaire à la fin du mois dernier (CVE-2024-5655, score CVSS : 9,6) qui pourrait également être utilisé comme arme pour exécuter des pipelines sous le nom d’autres utilisateurs.
GitLab a également abordé un problème de gravité moyenne (CVE-2024-5257, score CVSS : 4,9) qui permet à un utilisateur développeur disposant des autorisations admin_compliance_framework de modifier l’URL d’un espace de noms de groupe.
Toutes les failles de sécurité ont été corrigées dans les versions 17.1.2, 17.0.4 et 16.11.6 de GitLab Community Edition (CE) et Enterprise Edition (EE).
Cette révélation intervient alors que Citrix libéré mises à jour pour une faille d’authentification critique et incorrecte affectant NetScaler Console (anciennement NetScaler ADM), NetScaler SDX et NetScaler Agent (CVE-2024-6235, score CVSS : 9,4) qui pourrait entraîner la divulgation d’informations.
Des correctifs ont également été publiés par Broadcom pour deux vulnérabilités d’injection de gravité moyenne dans Directeur du cloud VMware (CVE-2024-22277, score CVSS : 6,4) et Automatisation de VMware Aria (CVE-2024-22280, score CVSS : 8,5) qui pourrait être utilisé de manière abusive pour exécuter du code malveillant à l’aide de balises HTML et de requêtes SQL spécialement conçues, respectivement.
La CISA publie des bulletins pour remédier aux failles logicielles
Ces développements font également suite à un nouveau bulletin publié par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et le Federal Bureau of Investigation (FBI), exhortant les fabricants de technologies à éliminer les failles d’injection de commandes du système d’exploitation (OS) dans les logiciels qui permettent aux acteurs de la menace d’exécuter du code à distance sur les périphériques de réseau.
De telles failles surviennent lorsque les entrées de l’utilisateur ne sont pas correctement nettoyées et validées lors de la construction des commandes à exécuter sur le système d’exploitation sous-jacent, permettant ainsi à un adversaire de faire passer en contrebande des commandes arbitraires pouvant conduire au déploiement de logiciels malveillants ou au vol d’informations.
« Les vulnérabilités liées à l’injection de commandes du système d’exploitation peuvent depuis longtemps être évitées en séparant clairement la saisie de l’utilisateur du contenu d’une commande », ont déclaré les agences. dit. « Malgré cette découverte, les vulnérabilités d’injection de commandes du système d’exploitation, dont beaucoup résultent de CWE-78 — constituent toujours une catégorie de vulnérabilité répandue. »
Il s’agit de la troisième alerte de ce type émise par la CISA et le FBI depuis le début de l’année. Les agences avaient déjà envoyé deux autres alertes sur la nécessité d’éliminer Injection SQL (SQLi) et vulnérabilités de traversée de chemin en mars et mai 2024.
Le mois dernier, la CISA, en collaboration avec les agences de cybersécurité du Canada et de la Nouvelle-Zélande, a également publié des directives recommandant aux entreprises d’adopter des solutions de sécurité plus robustes, telles que Confiance zéroService Edge sécurisé (SSE) et le service d’accès sécurisé Edge (SASE) — qui offrent une meilleure visibilité de l’activité du réseau.
« En utilisant des politiques de contrôle d’accès basées sur les risques pour prendre des décisions via des moteurs de décision politique, ces solutions intègrent la sécurité et le contrôle d’accès, renforçant la convivialité et la sécurité d’une organisation grâce à des politiques adaptatives », ont déclaré les agences auteurs. noté.