15/11/2024

Actu Cybersécurité

Cette faille de sécurité dans GitLab permet aux pirates de prendre le contrôle des comptes utilisateurs

GitLab a corrigé une faille de sécurité importante dans l'éditeur de code Web IDE présent dans GitLab Community Edition (CE) et Enterprise Edition (EE). Faisons le point sur cette menace.

La faille de sécurité 1-click "CVE-2024-4835" corrigée par les développeurs de GitLab pourrait permettre à un attaquant de voler des informations sensibles, et donc, de prendre le contrôle du compte d'un utilisateur.

"Prise de contrôle d'un compte en un clic via XSS en utilisant l'éditeur de code VS (Web IDE)", c'est ainsi qu'est décrite cette vulnérabilité sur le site de GitLab.

Pour atteindre son objectif et tirer profit de cette faiblesse de type XSS, l'attaquant doit attirer l'utilisateur pris pour cible vers une page malveillante. "En tirant parti de cette vulnérabilité, un attaquant peut créer une page malveillante pour exfiltrer des informations sensibles de l'utilisateur.", peut-on lire dans le bulletin de sécurité de GitLab.

La compromission d'un compte GitLab peut s'avérer très intéressant pour les attaquants afin d'accéder à du code source, voler des informations sensibles (secrets, clés d'API, etc.), et même, mettre en œuvre une attaque de la chaine d'approvisionnement (supply chain attack).

La CVE-2024-4835 n'est pas la seule vulnérabilité corrigée par GitLab dans les nouvelles versions de ses applications. Au total, ce sont pas moins de 7 failles de sécurité qui ont été corrigées, mais celle évoquée dans cet article est la plus dangereuse.

Comment se protéger ?

Pour vous protéger de ces vulnérabilités, vous devez installer l'une des versions publiées par GitLab, à savoir les versions 17.0.1, 16.11.3 et 16.10.6 de GitLab Community Edition (CE) et GitLab Enterprise Edition (EE). Autrement dit, les versions 15.11 avant 16.10.6, 16.11 avant 16.11.3, et 17.0 avant 17.0.1 sont affectées.

"Ces versions contiennent d'importantes corrections de bogues et de sécurité, et nous recommandons fortement que toutes les installations de GitLab soient mises à jour vers l'une de ces versions immédiatement. GitLab.com utilise déjà la version corrigée.", peut-on lire sur le site officiel.

En début d'année 2024, la faille de sécurité critique CVE-2023-7028 a également été corrigée dans GitLab.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.