Gitlab a corrigé une vulnérabilité critique qui pourrait permettre à un attaquant d’exécuter du code à distance.
Le problème de sécurité, qui a été classé comme critique, a été découvert dans toutes les versions de GitLab, à partir de 14.0 avant 14.10.5, 15.0 avant 15.0.4 et 15.1 avant 15.1.1.
Un utilisateur authentifié pourrait importer un projet construit de manière malveillante conduisant à l’exécution de code à distance, un avis de GitLab lit.
Le bogue (CVE-2022-2185) a été corrigé dans la dernière version.
Vulnérabilités multiples
Des correctifs pour un certain nombre d’autres vulnérabilités ont également été publiés dans la dernière version, y compris deux bogues de script intersite (XSS) distincts.
Plus de détails sur les vulnérabilités corrigées peuvent être trouvés dans l’avis de sécurité Gitlab.
Les bogues de sécurité affectent à la fois GitLab Community Edition et Enterprise Edition. Gitlab a recommandé aux utilisateurs de passer à la dernière version.
L’avis se lit comme suit : « Nous recommandons fortement que toutes les installations exécutant une version affectée par les problèmes décrits ci-dessous soient mises à niveau vers la dernière version dès que possible.
« Lorsqu’aucun type de déploiement spécifique (omnibus, code source, helm chart, etc.) d’un produit n’est mentionné, cela signifie que tous les types sont concernés. »