CERTFR-2024-AVI-0490_Multiples vulnerabilites dans GitLab

Objet : Multiples vulnérabilités dans GitLab

Référence : CERTFR-2024-AVI-0490

Risque(s)

- Atteinte à la confidentialité des données
- Déni de service à distance
- Injection de code indirecte à distance (XSS)

Système(s) affecté(s)

- GitLab Community Edition (CE) and Enterprise Edition (EE) versions 17.x antérieures à 17.0.2
- GitLab Community Edition (CE) and Enterprise Edition (EE) versions antérieures à 16.10.7
- iGtLab Community Edition (CE) and Enterprise Edition (EE) versions 16.11.x antérieures à 16.11.4

Résumé

De multiples vulnérabilités ont été découvertes dans GitLab. Elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

- Bulletin de sécurité GitLab du 12 juin 2024

https://about.gitlab.com/releases/2024/06/12/patch-release-gitlab-17-0-2-released/

- Référence CVE CVE-2024-1495

https://www.cve.org/CVERecord?id=CVE-2024-1495

- Référence CVE CVE-2024-1736

https://www.cve.org/CVERecord?id=CVE-2024-1736

- Référence CVE CVE-2024-1963

https://www.cve.org/CVERecord?id=CVE-2024-1963

- Référence CVE CVE-2024-4201

https://www.cve.org/CVERecord?id=CVE-2024-4201

- Référence CVE CVE-2024-5469

https://www.cve.org/CVERecord?id=CVE-2024-5469

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0490/