Multiples vulnérabilités critiques dans Gitlab

Risques

Exécution de code arbitraire

Atteinte à la confidentialité des données

Atteinte à l’intégrité des données

Criticité

Score CVSS v3.1: 8.8 max

La faille est activement exploitée

Non, pour l’ensemble des CVE présentées.

Un correctif existe

Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

Pour la CVE-2022-1680

CWE-284: Improper Access Control

Pour la CVE-2022-1948

CWE-79: Improper Neutralization of Input During Web Page Generation

Détails sur l’exploitation

Pour la CVE-2022-1680

Vecteur d’attaque : Réseau.

Complexité de l’attaque : Faible.

Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.

Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-1948

Vecteur d’attaque : Réseau.

Complexité de l’attaque : Faible.

Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.

Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.

L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Les produits suivants sont affectés par ces vulnérabilités :

Pour la CVE-2022-1680

GitLab Community Edition (CE) et Enterprise Edition (EE) aux versions antérieures à 14.9.5.

GitLab Community Edition (CE) and Enterprise Edition (EE) aux versions 14.10.x antérieures à 14.10.4.

GitLab Community Edition (CE) and Enterprise Edition (EE) aux versions 15.0.x antérieures à 15.0.1.

Pour la CVE-2022-1948

GitLab Community Edition (CE) and Enterprise Edition (EE) aux versions 15.0.x antérieures à 15.0.1.

• Des mises à jour correctives sont disponibles pour les clients GitLab concernant l’ensemble des produits affectés. Des informations complémentaires sont disponibles ici.