GitLab a une fois de plus publié des correctifs pour corriger une faille de sécurité critique dans ses éditions Community Edition (CE) et Enterprise Edition (EE) qui pourrait être exploitée pour écrire des fichiers arbitraires lors de la création d’un fichier. espace de travail.
Suivi comme CVE-2024-0402la vulnérabilité a un score CVSS de 9,9 sur un maximum de 10.
« Un problème a été découvert dans GitLab CE/EE affectant toutes les versions 16.0 antérieures à 16.5.8, 16.6 antérieures à 16.6.6, 16.7 antérieures à 16.7.4 et 16.8 antérieures à 16.8.1, qui permet à un utilisateur authentifié d’écrire fichiers vers des emplacements arbitraires sur le serveur GitLab lors de la création d’un espace de travail, » GitLab dit dans un avis publié le 25 janvier 2024.
La société a également noté que les correctifs pour le bogue avaient été rétroportés vers 16.5.8, 16.6.6, 16.7.4 et 16.8.1.
GitLab a également résolu quatre failles de gravité moyenne qui pourraient conduire à un déni de service d’expression régulière (ReDoS), à une injection HTML et à la divulgation de l’adresse e-mail publique d’un utilisateur via le flux RSS des balises.
La dernière mise à jour arrive deux semaines après que la plateforme DevSecOps a livré des correctifs pour combler deux lacunes critiques, dont une qui pourrait être exploitée pour prendre le contrôle de comptes sans nécessiter aucune interaction de l’utilisateur (CVE-2023-7028, score CVSS : 10,0).
Il est conseillé aux utilisateurs de mettre à niveau les installations vers une version corrigée dès que possible pour atténuer les risques potentiels. Les environnements GitLab.com et GitLab Dedicated exécutent déjà la dernière version.