Cette vulnérabilité est due à des restrictions inappropriées sur les personnes autorisées à exécuter des pipelines dans GitLab EE. Elle permet à des utilisateurs non autorisés de déclencher des pipelines sur des branches qu’ils ne contrôlent pas, ce qui pourrait entraîner l’exécution non autorisée de code ou l’exposition de données sensibles. GitLab est largement utilisé pour le CI/CD dans de nombreuses organisations, ce qui en fait un problème critique, surtout dans les environnements de grande envergure. Bien qu’il n’y ait actuellement aucun rapport confirmé d’exploitation active, le score CVSS élevé (9,6) indique qu’elle pourrait être facilement exploitée si elle n’est pas corrigée. Compte tenu de la popularité de GitLab EE, il est important que les organisations concernées prennent des mesures immédiates pour atténuer le risque.
| Produit | GitLab |
| Date | 18/10/2024 17:08:33 |
| Informations |
|
Résumé technique
Une vulnérabilité critique (CVE-2024-9164) dans GitLab Enterprise Edition (EE) permet à des utilisateurs non autorisés d’exécuter des pipelines sur des branches auxquelles ils ne devraient pas avoir accès. Ce défaut peut conduire à l’exposition de données sensibles et à la manipulation de flux de travail critiques. La vulnérabilité affecte plusieurs versions de GitLab EE et a un impact élevé sur la sécurité, en particulier dans les environnements où des pipelines CI/CD sont utilisés. Le problème a été résolu dans la dernière mise à jour, et les organisations utilisant les versions concernées doivent appliquer immédiatement le correctif pour prévenir tout abus potentiel.
Recommandations
Mettez à jour vers la dernière version (17.2.9, 17.3.5 ou 17.4.2) pour atténuer cette vulnérabilité.
[Callforaction-THREAT-Footer]
Leave a Reply