Multiples vulnérabilités dans Gitlab
Date de publication :
CVE-2022-3060[Score CVSS v3.1:7.3]
Un contrôle insuffisant des identifiants de ressources dans l’élément Error Tracking de GitLab permet à un attaquant authentifié, en créant du contenu spécialement forgé, d’amener une victime à envoyer des requêtes arbitraires.
CVE-2022-2904[Score CVSS v3.1:7.3]
Une mauvaise gestion des requêtes envoyées par l’utilisateur dans le « external status checks feature » de gitlab CE/EE permet à un attaquant distant d’injecter du code dans un site web (injection XSS). Ce code, pouvant avoir pour finalité le vol des cookies d'authentification, sera exécuté dans le navigateur de sa victime lorsqu’elle visite ce site.
CVE-2022-3283[Score CVSS v3.1: 6.5]
Une vulnérabilité dans Gitlab CE/EE permet à un attaquant, en persuadant une victime à cloner un répertoire contenant des données spécifiquement forgées, de provoquer une hausse d’utilisation CPU pouvant mener à un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Déni de service
Contournement de la politique de sécurité
Exécution de code arbitraire
Criticité
Score CVSS v3.1: 7.3 max
La faille est activement exploitée
Non, pour l’ensemble des CVE présentées.
Un correctif existe
Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
Pour la CVE-2022-3283
En cours de Recherche
Pour la CVE-2022-3060
CWE-99: Improper Control of Resource Identifiers ('Resource Injection')
Pour la CVE-2022-2904
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
Détails sur l’exploitation
Pour la CVE-2022-3283
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-3060
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-2904
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Élevée.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur privilégié.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour la CVE-2022-3283
Toutes les versions de Gitlab inférieures à 15.2.5
Gitlab versions 15.3 antérieures à 15.3.4
Gitlab versions 15.4 antérieures à 15.4.1
Pour la CVE-2022-3060
Toutes les versions de Gitlab ultérieures à 12.7 et antérieures à 15.2.5, 15.3.4 et 15.4.1
Pour la CVE-2022-2904
Gitlab versions 15.2 antérieures à 15.2.5
Gitlab versions 15.3 antérieures à 15.3.4
Gitlab versions 15.4 antérieures à 15.4.1
Solutions ou recommandations
Pour l’ensemble des CVE présentées
- Mettre à jour Gitlab vers les versions 15.2.5, 15.3.4, 15.4.1 ou vers une version ultérieure
- Plus d’informations disponibles ici.