GitLab a décidé de corriger une faille de sécurité critique dans son service qui, si elle est exploitée avec succès, pourrait entraîner une prise de contrôle de compte.

Suivi comme CVE-2022-1680, le problème a un score de gravité CVSS de 9,9 et a été découvert en interne par l’entreprise. La faille de sécurité affecte toutes les versions de GitLab Enterprise Edition (EE) à partir de 11.10 avant 14.9.5, toutes les versions à partir de 14.10 avant 14.10.4 et toutes les versions à partir de 15.0 avant 15.0.1.

« Lorsque le groupe SAML SSO est configuré, la fonctionnalité SCIM (disponible uniquement sur les abonnements Premium+) peut permettre à tout propriétaire d’un groupe Premium d’inviter des utilisateurs arbitraires via leur nom d’utilisateur et leur adresse e-mail, puis de modifier les adresses e-mail de ces utilisateurs via SCIM en une adresse e-mail contrôlée par un attaquant. adresse et donc – en l’absence de 2FA – prendre en charge ces comptes », GitLab a dit.

Ayant atteint cet objectif, un acteur malveillant peut également modifier le nom d’affichage et le nom d’utilisateur du compte ciblé, a averti le fournisseur de plateforme DevOps dans son avis publié le 1er juin 2022.

Sept autres vulnérabilités de sécurité ont également été résolues par GitLab dans les versions 15.0.1, 14.10.4 et 14.9.5, dont deux sont classées élevées, quatre sont classées moyennes et une est classée faible en gravité.

Il est recommandé aux utilisateurs exécutant une installation affectée des bogues susmentionnés de mettre à niveau vers la dernière version dès que possible.