GitLab a publié des mises à jour de sécurité pour Community Edition (CE) et Enterprise Edition (EE) pour corriger huit failles de sécurité, dont un bogue critique qui pourrait permettre d’exécuter des pipelines d’intégration continue et de livraison continue (CI/CD) sur des branches arbitraires.
Suivie comme CVE-2024-9164, la vulnérabilité présente un score CVSS de 9,6 sur 10.
« Un problème a été découvert dans GitLab EE affectant toutes les versions à partir de 12.5 avant 17.2.9, à partir de 17.3, avant 17.3.5 et à partir de 17.4 avant 17.4.2, ce qui permet d’exécuter des pipelines sur des branches arbitraires », GitLab dit dans un avis.
Sur les sept problèmes restants, quatre sont classés comme étant élevés, deux comme étant moyens et un comme étant de faible gravité :
- CVE-2024-8970 (score CVSS : 8,2), qui permet à un attaquant de déclencher un pipeline en tant qu’autre utilisateur dans certaines circonstances
- CVE-2024-8977 (score CVSS : 8,2), qui permet les attaques SSRF dans les instances GitLab EE avec le tableau de bord Product Analytics configuré et activé
- CVE-2024-9631 (score CVSS : 7,5), ce qui entraîne une lenteur lors de l’affichage des différences entre les demandes de fusion avec des conflits
- CVE-2024-6530 (score CVSS : 7,3), ce qui entraîne une injection HTML dans la page OAuth lors de l’autorisation d’une nouvelle application en raison d’un problème de script intersite
Cet avis est le dernier aspect de ce qui semble être un flux constant de vulnérabilités liées aux pipelines qui ont été divulguées par GitLab ces derniers mois.
Le mois dernier, la société a corrigé une autre faille critique (CVE-2024-6678, score CVSS : 9,9) qui pourrait permettre à un attaquant d’exécuter des tâches de pipeline en tant qu’utilisateur arbitraire.
Avant cela, il a également corrigé trois autres lacunes similaires : CVE-2023-5009 (score CVSS : 9,6), CVE-2024-5655 (score CVSS : 9,6) et CVE-2024-6385 (score CVSS : 9,6).
Bien qu’il n’y ait aucune preuve d’exploitation active de la vulnérabilité, il est recommandé aux utilisateurs de mettre à jour leurs instances vers la dernière version pour se protéger contre les menaces potentielles.