Des chercheurs ont révélé les détails d’une faille de sécurité désormais corrigée dans GitLab, un logiciel DevOps open-source, qui pourrait potentiellement permettre à un attaquant distant non authentifié de récupérer des informations relatives à l’utilisateur.
Identifiée sous le nom de CVE-2021-4191, cette faille de gravité moyenne affecte toutes les versions de GitLab Community Edition et Enterprise Edition à partir de la version 13.0 et toutes les versions à partir de la version 14.4 et antérieures à la version 14.8.
Suite à la divulgation responsable du 18 novembre 2021, des correctifs ont été publiés dans le cadre des versions de sécurité critiques GitLab 14.8.2, 14.7.4, et 14.6.5 livrées le 25 février 2022.
«La vulnérabilité est le résultat d’une vérification d’authentification manquante lors de l’exécution de certaines requêtes de l’API GraphQL de GitLab», a déclaré M. Baines dans un rapport publié jeudi.
«La fuite d’informations permet aussi potentiellement à un attaquant de créer une nouvelle liste de mots de passe basée sur les installations de GitLab – non seulement à partir de gitlab.com mais aussi à partir des 50 000 autres instances de GitLab qui peuvent être atteintes à partir d’Internet», a déclaré M. Baines.
Le correctif corrige également six autres failles de sécurité, dont l’une est un problème critique qui permet à un attaquant non autorisé de siphonner les jetons d’enregistrement des exécutants utilisés pour authentifier et autoriser les travaux CI/CD hébergés sur les instances de GitLab.
