GitLab a récemment déployé une mise à jour d'urgence, qui corrige une vulnérabilité critique de traversée de chemin. Les utilisateurs doivent s'assurer d'exécuter les dernières versions corrigées pour éviter les risques potentiels.
Gitlab est victime d'une vulnérabilité de traversée de chemin
Selon un récent bulletin de sécurité de GitLab, le service a déployé une autre mise à jour majeure de la plateforme. Comme décrit, une vulnérabilité de gravité critique existait dans GitLab qui pouvait permettre à un adversaire distant non authentifié d'accéder aux fichiers d'un projet public.
Plus précisément, la firme a décrit le problème comme une vulnérabilité de traversée de chemin permettant la lecture arbitraire de fichiers. Un attaquant peut exploiter la faille pour “lire des fichiers arbitraires sur le serveur lorsqu'une pièce jointe existe dans un projet public imbriqué dans au moins cinq groupes.”
GitLab a étiqueté cette faille (CVE-2023-2825) avec la note de sévérité maximale, lui attribuant un score CVSS de 10,0. La vulnérabilité affectait généralement les versions 16.0.0 de GitLab Community Edition (CE) et Enterprise Edition (EE). L'entreprise a corrigé le problème en publiant la version 16.0.1 pour GitLab CE/EE.
En plus de publier le correctif, GitLab a remercié le chercheur en sécurité “pwnie” d'avoir signalé le bogue par le biais de son programme HackerOne bug bounty.
Pour l'instant, le service s'est abstenu de partager d'autres détails sur la vulnérabilité. Apparemment, c'est une mesure sage étant donné la nature hautement critique de la faille et les risques potentiels qu'elle pourrait causer aux utilisateurs de GitLab si elle était exploitée dans la nature.
Les versions web de GitLab n'ont pas besoin d'une contribution supplémentaire de la part des utilisateurs car le service a déjà patché la plateforme. Cependant, pour les utilisateurs qui utilisent des installations GitLab, en particulier la version 16.0.0, l'entreprise leur demande instamment de mettre à jour leurs appareils avec la version corrigée au plus tôt.
Outre le correctif, il n'existe pas de solution de contournement pour atténuer la faille, si ce n'est le fait qu'elle nécessite une structure particulière (une pièce jointe dans un projet public imbriquée dans cinq groupes) qui peut ne pas s'appliquer à tous les projets. De plus, la vulnérabilité n'affecte pas les versions de GitLab CE/EE antérieures à la version 16.0.0.
Il n'en reste pas moins essentiel pour les utilisateurs de mettre à jour leurs systèmes immédiatement afin de rester à l'abri d'une exploitation potentielle.
Fais-nous part de tes réflexions dans les commentaires.
