Origine : bjCSIRT
Numéro : 2024/ALERTE/065
Date de l’alerte : 11/10/2024
APERÇU :
GitLab est affectée par une vulnérabilité de type élévation de privilèges permettant à un acteur malveillant d’exécuter des tâches CI/CD non autorisées sur des branches arbitraires.
DESCRIPTION :
Gitlab est une plateforme de développement collaboratif qui permet aux équipes de gérer leurs projets de manière efficace. Il propose des outils de gestion de version de code source, de déploiement continu, ainsi que des fonctionnalités de sécurité, le tout dans un environnement intégré.
Cette plateforme est affectée par une vulnérabilité libellée CVE-2024-9164. Elle permettrait à un acteur malveillant d’exécuter des pipelines sur des branches en modifiant le fichier .gitlab-ci.yml pour y inclure des commandes spécialement conçues. L’exploitation de cette vulnérabilité permettrait de déclencher une tâche non autorisée sans contrôle préalable.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.6 selon le CVSS version 3.1.
IMPACT :
- Atteinte à la confidentialité des données ;
- Compromission de l’intégrité du système ;
- Contournement de la politique de sécurité.
SYSTÈMES AFFECTÉS :
- GitLab EE versions 12.5 et antérieures à 17.2.9 ;
- GitLab EE versions 17.3 et antérieures à 17.3.5 ;
- GitLab EE versions 17.4 et antérieures 17.4.2.
MESURES À PRENDRE :
Mettre à jour Gitlab EE vers les versions 17.4.2, 17.3.5, 17.2.9 ou ultérieures.
RÉFÉRENCES :