AVIS CERTFR - 2023 - AVI - 0078

Objet : Multiples vulnérabilités dans GitLab

Référence : CERTFR-2023-AVI-0078

Risque(s)

- Déni de service à distance
- Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

- GitLab Community Edition (CE) et Enterprise Edition (EE) versions antérieures à 15.8.1, 15.7.6 et 15.6.7

Résumé

De multiples vulnérabilités ont été découvertes dans GitLab. Elles permettent à un attaquant de provoquer un déni de service à distance et une injection de requêtes illégitimes par rebond (CSRF).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité GitLab du 31 janvier 2023

https://about.gitlab.com/releases/2023/01/31/security-release-gitlab-15-8-1-released/

- Référence CVE CVE-2022-3411

https://www.cve.org/CVERecord?id=CVE-2022-3411

- Référence CVE CVE-2022-4138

https://www.cve.org/CVERecord?id=CVE-2022-4138

- Référence CVE CVE-2022-3759

https://www.cve.org/CVERecord?id=CVE-2022-3759

- Référence CVE CVE-2023-0518

https://www.cve.org/CVERecord?id=CVE-2023-0518

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0078/