La plate-forme DevOps GitLab a publié des mises à jour logicielles pour résoudre une vulnérabilité de sécurité critique qui, si elle était potentiellement exploitée, pourrait permettre à un adversaire de prendre le contrôle des comptes.

Suivi sous le nom de CVE-2022-1162, le problème a un score CVSS de 9,1 et aurait été découvert en interne par l’équipe GitLab.

« Un mot de passe codé en dur a été défini pour les comptes enregistrés à l’aide d’un fournisseur OmniAuth (par exemple, OAuth, LDAP, SAML) dans les versions GitLab CE/EE 14.7 antérieures à 14.7.7, 14.8 antérieures à 14.8.5 et 14.9 antérieures à 14.9.2 permettant des attaquants pour potentiellement prendre le contrôle de comptes », a déclaré la société dans un avis publié le 31 mars.

GitLab, qui a résolu le bogue avec la dernière version des versions 14.9.2, 14.8.5 et 14.7.7 pour GitLab Community Edition (CE) et Enterprise Edition (EE), a également déclaré avoir pris l’initiative de réinitialiser le mot de passe de un nombre indéterminé d’utilisateurs par prudence.

« Notre enquête ne montre aucune indication que des utilisateurs ou des comptes ont été compromis », a-t-il ajouté.

La société a également publié un script que les administrateurs d’instances autogérées peuvent exécuter pour identifier les comptes potentiellement impactés par CVE-2022-1162. Une fois les comptes concernés identifiés, une réinitialisation du mot de passe a été conseillée.

GitLab a également abordé dans le cadre de la mise à jour de sécurité deux bogues de script intersite stocké (XSS) de haute gravité (CVE-2022-1175 et CVE-2022-1190) ainsi que neuf failles de gravité moyenne et cinq problèmes qui sont classé faible en gravité.

Compte tenu de la gravité de certains des problèmes, il est fortement recommandé aux utilisateurs exécutant des installations concernées de mettre à niveau vers la dernière version dès que possible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *