GitLab a publié mercredi des mises à jour de sécurité pour corriger 17 vulnérabilités de sécurité, dont une faille critique qui permet à un attaquant d’exécuter des tâches de pipeline en tant qu’utilisateur arbitraire.
Le problème, identifié comme CVE-2024-6678, porte un score CVSS de 9,9 sur un maximum de 10,0
« Un problème a été découvert dans GitLab CE/EE affectant toutes les versions à partir de 8.14 avant 17.1.7, à partir de 17.2 avant 17.2.5 et à partir de 17.3 avant 17.3.2, ce qui permet à un attaquant de déclencher un pipeline en tant qu’utilisateur arbitraire dans certaines circonstances », a indiqué la société. dit dans une alerte.
La vulnérabilité, ainsi que trois bogues de gravité élevée, 11 bogues de gravité moyenne et deux bogues de faible gravité, ont été traités dans les versions 17.3.2, 17.2.5, 17.1.7 pour GitLab Community Edition (CE) et Enterprise Edition (EE).
Il convient de noter que CVE-2024-6678 est la quatrième faille de ce type que GitLab a corrigée au cours de l’année écoulée, après CVE-2023-5009 (score CVSS : 9,6), CVE-2024-5655 (score CVSS : 9,6) et CVE-2024-6385 (score CVSS : 9,6).
Bien qu’il n’y ait aucune preuve d’exploitation active des failles, il est recommandé aux utilisateurs d’appliquer les correctifs dès que possible pour atténuer les menaces potentielles.
Début mai, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a révélé qu’une vulnérabilité critique de GitLab (CVE-2023-7028, score CVSS : 10,0) avait été activement exploitée dans la nature.