Une faille critique de GitLab permet la prise de contrôle d’un compte sans interaction de l’utilisateur, corrigez-la rapidement ! (CVE-2023-7028)

Une vulnérabilité critique dans GitLab CE/EE peut être facilement exploitée par des attaquants pour réinitialiser les mots de passe des comptes utilisateurs de GitLab.

Les utilisateurs qui ont activé l’authentification à deux facteurs sur leur compte sont à l’abri d’une prise de contrôle de leur compte.

«Nous n’avons pas détecté d’abus de cette vulnérabilité sur les plateformes gérées par GitLab, y compris les instances GitLab.com et GitLab Dedicated. Les clients autogérés peuvent consulter leurs journaux pour vérifier les tentatives éventuelles d’exploitation de cette vulnérabilité», a indiqué Greg Myers, ingénieur en sécurité chez GitLab, en précisant ce qu’il faut rechercher.

CVE-2023-7028 a été rapporté par le biais du programme de primes aux bugs de l’entreprise et a été corrigé dans les versions 16.7.2, 16.6.4 et 16.5.6 de GitLab CE et EE.

GitLab conseille aux administrateurs d’instances GitLab autogérées de passer immédiatement à une version corrigée et d’activer le 2FA pour tous les comptes GitLab.

CVE-2023-5356, un bogue critique causé par des vérifications d’autorisation incorrectes, qui peut permettre à un utilisateur d’abuser des intégrations Slack/Mattermost pour exécuter des commandes slash en tant qu’autre utilisateur.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

COMMENCEZ DÈS AUJOURD'HUI

Faites-nous part de vos besoins
Obtenir une réponse le même jour

Vous avez une demande urgente ? Appelez-nous au 1-877-805-7475 ou Prenez rendez-vous.

Une fois le formulaire envoyé :

Un expert vous contactera pour se renseigner sur votre projet de cybersécurité

La portée du projet sera défini (environnement cible, délais, exigences, etc.)

Une soumission détaillée comprenant un prix tout inclus vous est envoyée

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

ÉDITION 2024

Guide de l'Acheteur de Tests d'Intrusion

Tout ce que vous Devez Savoir

Planifiez et réalisez des projets de test d’intrusion avec succès.

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.