Multiples vulnérabilités dans Gitlab

Date de publication :

CVE-2022-3060[Score CVSS v3.1:7.3]
Un contrôle insuffisant des identifiants de ressources dans l’élément Error Tracking de GitLab permet à un attaquant authentifié, en créant du contenu spécialement forgé, d’amener une victime à envoyer des requêtes arbitraires.

CVE-2022-2904[Score CVSS v3.1:7.3]
Une mauvaise gestion des requêtes envoyées par l’utilisateur dans le « external status checks feature » de gitlab CE/EE permet à un attaquant distant d’injecter du code dans un site web (injection XSS). Ce code, pouvant avoir pour finalité le vol des cookies d'authentification, sera exécuté dans le navigateur de sa victime lorsqu’elle visite ce site.

CVE-2022-3283[Score CVSS v3.1: 6.5]
Une vulnérabilité dans Gitlab CE/EE permet à un attaquant, en persuadant une victime à cloner un répertoire contenant des données spécifiquement forgées, de provoquer une hausse d’utilisation CPU pouvant mener à un déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service
  • Contournement de la politique de sécurité
  • Exécution de code arbitraire

Criticité

  • Score CVSS v3.1: 7.3 max

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentées.

Un correctif existe

  • Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

  • Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

En cours de Recherche

CWE-99: Improper Control of Resource Identifiers ('Resource Injection')

CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

Détails sur l’exploitation

Pour la CVE-2022-3283

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-3060

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-2904

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Élevée.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur privilégié.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour la CVE-2022-3283

  • Toutes les versions de Gitlab inférieures à 15.2.5
  • Gitlab versions 15.3 antérieures à 15.3.4
  • Gitlab versions 15.4 antérieures à 15.4.1

Pour la CVE-2022-3060

  • Toutes les versions de Gitlab ultérieures à 12.7 et antérieures à 15.2.5, 15.3.4 et 15.4.1

Pour la CVE-2022-2904

  • Gitlab versions 15.2 antérieures à 15.2.5
  • Gitlab versions 15.3 antérieures à 15.3.4
  • Gitlab versions 15.4 antérieures à 15.4.1

Solutions ou recommandations

Pour l’ensemble des CVE présentées

  • Mettre à jour Gitlab vers les versions 15.2.5, 15.3.4, 15.4.1 ou vers une version ultérieure
  • Plus d’informations disponibles ici.

Liens