Origine : bjCSIRT
Numéro : 2024/ALERTE/041
Date de l’alerte : 28/06/2024
APERÇU :
GitLab est une plateforme DevOps qui permet de gérer l’ensemble du cycle de vie du développement logiciel. Elle une fonctionnalité d’intégration continue (CI) permettant d’automatiser une série de tâches afin de développer, tester et déployer des applications de manière cohérente et reproductible.
Cette plateforme est affectée par une vulnérabilité libellée CVE-2024-5655 qui permet à un attaquant authentifié d’envoyer des requêtes spécifiquement forgées afin de démarrer un pipeline CI avec l’identité d’un autre utilisateur. L’attaquant pourrait potentiellement exécuter du code ou des tâches automatisées au nom d’un autre utilisateur sans autorisation appropriée, ce qui pourrait compromettre l’intégrité des processus de développement et de déploiement.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.6 selon le CVSS version 3.1.
IMPACT :
- Atteinte à la confidentialité des données;
- contournement de la politique de sécurité.
SYSTÈMES AFFECTÉS :
- GitLab CE/EE versions 15.8 antérieures à 16.11.5 ;
- GitLab CE/EE versions 17.0 antérieures à 17.0.3 ;
- GitLab CE/EE versions 17.1 antérieures à 17.1.1.
MESURES À PRENDRE :
Mettre à jour GitLab CE/EE vers la version 16.11.5, 17.0.3, 17.1.1 ou ultérieure
RÉFÉRENCES :