Origine : bjCSIRT
Numéro : 2024/ALERTE/007
Date de l’alerte : 30/01/2024
APERÇU :
Une vulnérabilité critique de type « Arbitrary file write » a été identifiée dans Gitlab CE/EE, permettant à un attaquant authentifié d’écrire des fichiers dans des emplacements arbitraires sur le serveur GitLab lors de la création d’un espace de travail.
DESCRIPTION :
GitLab est un logiciel libre de Forge basé sur Git proposant les fonctionnalités de wiki, un système de suivi des bugs, d’intégration continue et de livraison continue.
Libellée sous le CVE-2024-0402, cette vulnérabilité présente dans GitLab CE/EE permettrait, en raison de problèmes de traversée de répertoire, à un attaquant authentifié d’écrire des fichiers vers n’importe quel emplacement du serveur lors de la création d’espaces de travail. Cette vulnérabilité pourrait être exploitée par un attaquant malveillant pour téléverser des fichiers ou logiciels malveillants sur une instance GitLab vulnérable pour compromettre le serveur.
Cette vulnérabilité est classée critique et son score de sévérité est 9.9.
IMPACT :
- Exécution de code arbitraire à distance ;
- Contournement de la politique de sécurité ;
- Exfiltration de données.
SYSTÈMES AFFECTÉS :
Gitlab Community Edition / Enterprise Edition Version :
- 16.0 avant 16.5.8
- 16.6 avant 16.6.6
- 16.7 avant 16.7.4
- 16.8 avant 16.8.1
MESURES À PRENDRE :
Appliquer une mise à jour vers la version 16.5.8, 16.6.6, 16.7.4 ou 16.8.1.
RÉFÉRENCES :
