Gitlab a publié des correctifs pour une vulnérabilité critique affectant toutes ses versions, elle pourrait permettre à un acteur de la menace d’exécuter du code à distance.

Suivie sous le nom de CVE-2022-2185, la faille a reçu un score de 9.9 sur l’échelle d’évaluation CVSS, elle pourrait permettre à un utilisateur authentifié d’importer un projet malicieusement conçu conduisant à l'exécution de code à distance.

La société a également corrigé d’autres bogues dont trois ont reçu un score élevé de gravité décrites comme suit :

· CVE-2022-2235 (score CVSS : 8.7) : Une vérification insuffisante dans le gestionnaire de problèmes externe de GitLab EE, elle permet à un acteur de la menace de réaliser une attaque XSS lorsqu'une victime clique sur un lien ZenTao mal conçu.

· CVE-2022-2230 (score CVSS : 8.1) : Une vulnérabilité de type Cross-Site Scripting stockée dans la page des paramètres du projet dans GitLab CE/EE, elle conduit à l’exécution du code JavaScript arbitraire dans GitLab pour le compte d'une victime.

· CVE-2022-2229 (score CVSS : 7.5) : Un problème d'autorisation inappropriée dans GitLab CE/EE, il permet d'extraire la valeur d'une variable non protégée dont il connaît le nom dans les projets publics ou privés dont il est membre.

Gitlab recommande vivement que toutes les installations utilisant une version affectée par ses failles soient mises à niveau vers une des dernières versions 15.1.1, 15.0.4 ou 14.10.5 dès que possible.