Vulnérabilité critique de type usurpation de compte sur GitLab CE/EE

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2024/ALERTE/004

Date de l’alerte : 18/01/2024

APERÇU :

Une vulnérabilité critique de type Account Takeover a été identifiée dans Gitlab CE/EE, permettant à un attaquant de réinitialiser le mot de passe d’un utilisateur et de l’envoyer à une adresse mail non vérifiée.

DESCRIPTION :

GitLab est un logiciel libre de forge basé sur Git proposant les fonctionnalités de wiki, un système de suivi des bugs, l’intégration et la livraison continue.

Libellée sous le CVE-2023-7028, l’exploitation de cette vulnérabilité par une personne malveillante lui permettrait d’initier une requête de réinitialisation de mot de passe pour n’importe quel utilisateur vers une adresse mail de son choix et ensuite de s’y connecter.

Cette vulnérabilité est classée critique et son score de sévérité est  10.

 

IMPACT :

  • Contournement de la politique de sécurité ;
  • Usurpation d’identité.

SYSTÈMES AFFECTÉS : 

Gitlab Community Edition / Enterprise Edition Version :

  • 16.1 avant 16.1.5
  • 16.2 avant 16.2.8
  • 16.3 avant 16.3.6
  • 16.4 avant 16.4.4
  • 16.5 avant 16.5.6
  • 16.6 avant 16.6.4
  • 16.7 avant 16.7.2

MESURES À PRENDRE : 

Effectuer une mise à jour vers l’une des versions suivantes : 16.1.6, 16.2.9, 16.3.7, 16.4.5, 16.5.6, 16.6.4, et 16.7.2.

RÉFÉRENCES :

Partagez sur vos réseaux.