GitLab a corrigé une vulnérabilité de gravité critique qui pourrait permettre à des attaquants distants de prendre le contrôle de comptes utilisateurs en utilisant des mots de passe codés en dur.

Le bogue, suivi sous le nom de CVE-2022-1162, affecte à la fois GitLab Community Edition (CE) et Enterprise Edition (EE), et résulte de mots de passe statiques définis accidentellement lors de l'enregistrement basé sur OmniAuth dans GitLab CE/EE.

"Un mot de passe codé en dur a été défini pour les comptes enregistrés à l'aide d'un fournisseur OmniAuth (par exemple, OAuth, LDAP, SAML) dans les versions 14.7 antérieures à 14.7.7, 14.8 antérieures à 14.8.5 et 14.9 antérieures à 14.9.2 de GitLab CE/EE, permettant aux attaquants de prendre potentiellement le contrôle des comptes", explique l'équipe de GitLab dans un avis de sécurité publié jeudi.

GitLab a exhorté les utilisateurs à mettre immédiatement à niveau toutes les installations GitLab vers les dernières versions (14.9.2, 14.8.5 ou 14.7.7) afin de bloquer les attaques potentielles.

"Nous recommandons fortement que toutes les installations exécutant une version affectée par les problèmes décrits ci-dessous soient mises à niveau vers la dernière version dès que possible", ont-ils déclaré.

Bien que GitLab affirme qu'aucun compte utilisateur n'a été violé jusqu'à présent, la société a créé un script que les administrateurs d'instances autogérées peuvent utiliser pour identifier les comptes utilisateurs potentiellement affectés par CVE-2022-1162.

Après avoir identifié les comptes utilisateurs potentiellement affectés, il est conseillé aux administrateurs de réinitialiser les mots de passe des utilisateurs.