Vulnérabilité critique de type usurpation de compte sur GitLab CE/EE
GitLab est un logiciel libre de forge basé sur Git proposant les fonctionnalités de wiki, un système de suivi des bugs, l’intégration et la livraison continue.
Libellée sous le CVE-2023-7028, l’exploitation de cette vulnérabilité par une personne malveillante lui permettrait d’initier une requête de réinitialisation de mot de passe pour n’importe quel utilisateur vers une adresse mail de son choix et ensuite de s’y connecter.
Cette vulnérabilité est classée critique et son score de sévérité est 10.
RISQUES DE SÉCURITÉ
- Contournement de la politique de sécurité
- Usurpation d’identité
SYSTÈMES AFFECTÉS
Gitlab Community Edition / Enterprise Edition Version :
- 16.1 avant 16.1.5
- 16.2 avant 16.2.8
- 16.3 avant 16.3.6
- 16.4 avant 16.4.4
- 16.5 avant 16.5.6
- 16.6 avant 16.6.4
- 16.7 avant 16.7.2
MESURES À PRENDRE
- Effectuer une mise à jour vers l’une des versions suivantes : 16.1.6, 16.2.9, 16.3.7, 16.4.5, 16.5.6, 16.6.4, et 16.7.2.
Source: bjCSIRT