La plate-forme DevOps GitLab a récemment publié des correctifs pour sept vulnérabilités, dont une faille de haute gravité qui permettait aux acteurs malveillants de s’emparer des comptes des personnes.
Tel que repris par BipOrdinateur, le point culminant de l’avis de sécurité est une faiblesse XSS dans l’éditeur de code VS (Web IDE), que les acteurs malveillants peuvent exploiter via des pages malveillantes. Bien que les attaquants puissent exploiter la faille sans authentification, le bug nécessite toujours une interaction de la victime, ce qui rend l’abus du bug un peu plus complexe.
Le bug est suivi comme CVE-2024-4835 et attend actuellement un score de gravité.
Cibler les utilisateurs de GitLab
“Aujourd’hui, nous publions les versions 17.0.1, 16.11.3 et 16.10.6 pour GitLab Community Edition (CE) et Enterprise Edition (EE)”, a déclaré GitLab. “Ces versions contiennent d’importants correctifs de bugs et de sécurité, et nous recommandons fortement que toutes les installations de GitLab soient immédiatement mises à niveau vers l’une de ces versions.”
Voler les comptes GitLab des gens pourrait avoir des conséquences majeures, BipOrdinateur rapports. Par exemple, les acteurs malveillants pourraient utiliser les comptes pour injecter des logiciels malveillants dans des environnements CI/CD (Continuous Integration/Continuous Deployment), compromettant ainsi les référentiels de l’organisation victime.
En conséquence, les comptes GitLab sont généralement considérés comme une cible populaire parmi les pirates. Plus tôt ce mois-ci, la CISA a mis en garde contre une faille de piratage de compte sans clic de gravité maximale dont les pirates informatiques abusent dans la nature. Cette faille est identifiée comme CVE-2023-7028 et a été corrigée en janvier de cette année.
Lorsque la CISA ajoute des vulnérabilités à son catalogue de vulnérabilités exploitées connues (KEV), cela signifie généralement que les acteurs malveillants peuvent les utiliser pour cibler les agences fédérales. Au moment de la rédaction de cet article, environ 2 000 terminaux étaient encore vulnérables aux pirates informatiques.
Outre la faiblesse XSS, l’avis de sécurité corrige six autres failles de gravité moyenne, notamment une falsification de requêtes intersites (CSRF) via le serveur d’agent Kubernetes, une faille identifiée comme CVE-2023-7045 et une vulnérabilité de déni de service. dont les acteurs malveillants peuvent abuser pour empêcher les utilisateurs de charger les ressources Web de GitLab. Cette vulnérabilité est suivie comme CVE-2024-2874.
Plus de TechRadar Pro
2024-05-24 17:30:27
1716563925
#GitLab #publie #correctif #pour #une #vulnérabilité #prise #contrôle #compte #haute #gravité