Résumé

[Mise à jour du 29 janvier 2024]

Le 25 janvier 2024, l'éditeur a publié un avis de sécurité concernantplusieurs vulnérabilités affectant GitLab CE et EE.

La vulnérabilité CVE-2024-0402 est considérée critique avec un scoreCVSSv3 de 9,9. Elle permet à un attaquant authentifié d'écrire desfichiers à un emplacement arbitraire.

[Publication initiale]

Le 11 janvier 2024, l'éditeur a publié un avis de sécurité concernantplusieurs vulnérabilités affectant GitLab CE et EE.

La plus critique est la vulnérabilité CVE-2023-7028. Elle permet à unattaquant non authentifié d'envoyer un courriel de réinitialisation demot de passe de n'importe quel utilisateur à une adresse arbitraire.L'attaquant peut ainsi, par le biais d'une simple requête HTTP POST,prendre le contrôle d'un compte dont il connaitrait le courriel.

Le score CVSSv3 de la vulnérabilité CVE-2023-7028 est de 10 (sur 10).Son exploitation est triviale et le CERT-FR anticipe la publication decodes d'exploitations publics dans les heures à venir.

L'éditeur recommande de vérifier:

• dans le journal d'activité "gitlab-rails/production_json.log", laprésence de requêtes HTTP, sur le chemin "/users/password",contenant plusieurs adresses courriel;
• dans le journal d'activité "gitlab-rails/audit_json.log", laprésence d'identifiants correspondant à "PasswordsController#create"avec des "target_details" composé d'un tableau comprenant plusieursadresses courriel.

Le CERT-FR recommande donc d'appliquer les correctifs dans les plusbrefs délais et d'activer l'authentification à multiples facteurs,notamment sur les comptes à hauts privilèges.