Origine : bjCSIRT
Numéro : 2024/ALERTE/004
Date de l’alerte : 18/01/2024
APERÇU :
Une vulnérabilité critique de type Account Takeover a été identifiée dans Gitlab CE/EE, permettant à un attaquant de réinitialiser le mot de passe d’un utilisateur et de l’envoyer à une adresse mail non vérifiée.
DESCRIPTION :
GitLab est un logiciel libre de forge basé sur Git proposant les fonctionnalités de wiki, un système de suivi des bugs, l’intégration et la livraison continue.
Libellée sous le CVE-2023-7028, l’exploitation de cette vulnérabilité par une personne malveillante lui permettrait d’initier une requête de réinitialisation de mot de passe pour n’importe quel utilisateur vers une adresse mail de son choix et ensuite de s’y connecter.
Cette vulnérabilité est classée critique et son score de sévérité est 10.
IMPACT :
- Contournement de la politique de sécurité ;
- Usurpation d’identité.
SYSTÈMES AFFECTÉS :
Gitlab Community Edition / Enterprise Edition Version :
- 16.1 avant 16.1.5
- 16.2 avant 16.2.8
- 16.3 avant 16.3.6
- 16.4 avant 16.4.4
- 16.5 avant 16.5.6
- 16.6 avant 16.6.4
- 16.7 avant 16.7.2
MESURES À PRENDRE :
Effectuer une mise à jour vers l’une des versions suivantes : 16.1.6, 16.2.9, 16.3.7, 16.4.5, 16.5.6, 16.6.4, et 16.7.2.
RÉFÉRENCES :
