Une faille critique de GitLab permet la prise de contrôle d’un compte sans interaction de l’utilisateur, corrigez-la rapidement ! (CVE-2023-7028)

Une vulnérabilité critique dans GitLab CE/EE peut être facilement exploitée par des attaquants pour réinitialiser les mots de passe des comptes utilisateurs de GitLab.

Les utilisateurs qui ont activé l’authentification à deux facteurs sur leur compte sont à l’abri d’une prise de contrôle de leur compte.

« Nous n’avons pas détecté d’abus de cette vulnérabilité sur les plateformes gérées par GitLab, y compris les instances GitLab.com et GitLab Dedicated. Les clients autogérés peuvent consulter leurs journaux pour vérifier les tentatives éventuelles d’exploitation de cette vulnérabilité », a indiqué Greg Myers, ingénieur en sécurité chez GitLab, en précisant ce qu’il faut rechercher.

CVE-2023-7028 a été rapporté par le biais du programme de primes aux bugs de l’entreprise et a été corrigé dans les versions 16.7.2, 16.6.4 et 16.5.6 de GitLab CE et EE.

GitLab conseille aux administrateurs d’instances GitLab autogérées de passer immédiatement à une version corrigée et d’activer le 2FA pour tous les comptes GitLab.

CVE-2023-5356, un bogue critique causé par des vérifications d’autorisation incorrectes, qui peut permettre à un utilisateur d’abuser des intégrations Slack/Mattermost pour exécuter des commandes slash en tant qu’autre utilisateur.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.