GitLab a publié des correctifs pour une vulnérabilité critique trouvée dans « GitLab Community et Entreprise Edition », qui pourrait permettre à un acteur de menace de voler « runner registration tokens ».

Suivie sous le nom CVE-2022-0735, la faille a reçu un score CVSS de 9.6 et affecte toutes les versions : de 12.10 à 14.6.4, de 14.7 à 14.7.3 et de 14.8 à 14.8.1 de GitLab Community Edition (CE) et GitLab Entreprise Edition (EE). Si elle est exploitée, un utilisateur non autorisé est en mesure de voler les jetons runner d'enregistrement par le biais d'une divulgation d'informations à l’aide de commandes d'actions rapides.

Selon le rapport de GitLab, ce bogue est considéré comme dangereux à cause de sa faible complexité et il ne nécessite aucun privilège ou interaction de l’utilisateur pour être exploité.

GitLab a corrigé d’autres vulnérabilité dans ces mises à jour dans les mêmes produits :

• CVE-2022-0549 (score CVSS : 6.5) : Les utilisateurs non privilégiés peuvent ajouter d’autres utilisateurs à des groupes via un point de terminaison d’API ;
• CVE-2022-0751 (score CVSS : 6.5) : Vulnérabilité dans les fichiers Snippet contenant des caractères spéciaux, permet à un acteur non autorisé de créer des Snippets avec un contenu trompeur, ce qui pourrait inciter les utilisateurs à exécuter des commandes arbitraires ;
• CVE-2022-0741 (score CVSS : 5.8) : Les variables d'environnement peuvent être divulguées via la méthode d'envoi de sendmail ;
• CVE-2021-4191 (score CVSS : 5.3) : Énumération des utilisateurs non authentifiés sur l'API « GraphQL » ;
• CVE-2022-0738 (score CVSS : 4.2) : L'ajout d'un miroir avec des informations d'identification SSH peut entraîner une fuite du mot de passe ;
• CVE-2022-0489 (score CVSS : 3.5) : Déni de service via les commentaires des utilisateurs.

Il est fortement recommandé que toutes les installations de GitLab soient mises à niveau vers les versions corrigées : 14.8.2, 14.7.4 et 14.6.5.