CERTFR-2024-AVI-0521_Multiples vulnérabilités dans GitLab

Objet

Multiples vulnérabilités dans GitLab

Référence

CERTFR-2024-AVI-0521

Risques

• Déni de service à distance
• Injection de code indirecte à distance (XSS)
• Injection de requêtes illégitimes par rebond (CSRF)
• Atteinte à l'intégrité des données
• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données

Systèmes affectés

• GitLab Community Edition (CE) et Enterprise Edition (EE) versions 17.0.x antérieures à 17.0.3
• GitLab Community Edition (CE) et Enterprise Edition (EE) versions 17.1.x antérieures à 17.1.1
• GitLab Community Edition (CE) et Enterprise Edition (EE) versions 16.11.x antérieures à 16.11.5

Résumé

De multiples vulnérabilités ont été découvertes dans GitLab. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et une atteinte à l'intégrité des données.

Documentation

• Bulletin de sécurité GitLab du 26 juin 2024
• CVE-2024-4994
• CVE-2024-3959
• CVE-2024-2177
• CVE-2024-6323
• CVE-2024-5655
• CVE-2024-1493
• CVE-2024-4011
• CVE-2024-3115
• CVE-2024-1816
• CVE-2024-4557
• CVE-2024-2191
• CVE-2024-4901
• CVE-2024-4025
• CVE-2024-5430

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0521/