Avertissement - Une vulnérabilité critique de GitLab pourrait permettre aux attaquants de voler les tokens d'enregistrement des runners
|
CVE-2022-0735 |
Sources
Gitlab: https://about.gitlab.com/releases/2022/02/25/critical-security-release-gitlab-14-8-2-released/
Risques
Les versions non corrigées de Gitlab CE/EE sont vulnérables à la divulgation d'informations à l'aide de commandes d'actions rapides, permettant à un utilisateur non autorisé de voler les tokens d'enregistrement des runners.
Description
Un problème a été découvert dans GitLab CE/EE affectant toutes les versions antérieures à 14.8.2, 14.7.4 et 14.6.5.
Cette vulnérabilité de divulgation d'information permet à un utilisateur non autorisé de voler les tokens d'enregistrement des runners en utilisant des commandes d'actions rapides.
Cette vulnérabilité a été divulguée à Gitlab par le biais du programme HackerOne bug bounty.
Gitlab a publié les versions 14.8.2, 14.7.4 et 14.6.5 pour les éditions Community et Enterprise, qui constituent également la version de sécurité mensuelle de février.
Actions recommandées
Gitlab recommande fortement la mise à jour immédiate des installations de GitLab vers l'une de ces versions.