Une vulnérabilité critique dans GitLab CE/EE peut être facilement exploitée par des attaquants pour réinitialiser les mots de passe des comptes utilisateurs de GitLab.
Les utilisateurs qui ont activé l’authentification à deux facteurs sur leur compte sont à l’abri d’une prise de contrôle de leur compte.
« Nous n’avons pas détecté d’abus de cette vulnérabilité sur les plateformes gérées par GitLab, y compris les instances GitLab.com et GitLab Dedicated. Les clients autogérés peuvent consulter leurs journaux pour vérifier les tentatives éventuelles d’exploitation de cette vulnérabilité », a indiqué Greg Myers, ingénieur en sécurité chez GitLab, en précisant ce qu’il faut rechercher.
CVE-2023-7028 a été rapporté par le biais du programme de primes aux bugs de l’entreprise et a été corrigé dans les versions 16.7.2, 16.6.4 et 16.5.6 de GitLab CE et EE.
GitLab conseille aux administrateurs d’instances GitLab autogérées de passer immédiatement à une version corrigée et d’activer le 2FA pour tous les comptes GitLab.
CVE-2023-5356, un bogue critique causé par des vérifications d’autorisation incorrectes, qui peut permettre à un utilisateur d’abuser des intégrations Slack/Mattermost pour exécuter des commandes slash en tant qu’autre utilisateur.