Origine : bjCSIRT
Numéro : 2024/ALERTE/054
Date de l’alerte : 27/08/2024
APERÇU :
Une vulnérabilité critique de type exécution de code a été identifiée dans GitLab CE/EE permettant à un acteur malveillant d’exécuter du code arbitraire à distance.
DESCRIPTION :
GitLab est une plateforme DevOps qui permet de gérer l’ensemble du cycle de vie du développement logiciel. Elle dispose d’une fonctionnalité d’intégration continue permettant d’automatiser une série de tâches afin de développer, tester et déployer des applications de manière cohérente et reproductible.
Cette plateforme est affectée par une vulnérabilité libellée CVE-2024-7110 qui permettrait d’exécuter du code arbitraire à distance. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant d’injecter des commandes spécialement conçues via des paramètres d’URL dans un pipeline. Les données reçues en entrée par les paramètres ne sont pas validées de manière adéquate conduisant ainsi à l’exécution de commandes arbitraires.
Cette vulnérabilité est classée moyenne, avec un score de sévérité de 6.4 selon le CVSSV3.
IMPACT :
- Exécution de code arbitraire à distance ;
- Compromission de l’intégrité du système.
SYSTÈMES AFFECTÉS :
- GitLab CE/EE versions antérieures à 17.1.6 ;
- GitLab CE/EE versions 17.2.x antérieures à 17.2.4 ;
- GitLab CE/EE versions 17.3.x antérieures à 17.3.1.
MESURES À PRENDRE :
- Mettre à jour GitLab vers la version 17.3.1, 17.2.4, 17.1.6 ou ultérieure.
RÉFÉRENCES :