Deux vulnérabilités critiques, une pour chacune des vulnérabilités élevée, moyenne et faible, sont répertoriées dans le cadre des correctifs que le fournisseur recommande de toute urgence dès que possible.
La première vulnérabilité critique, identifiée comme CVE-2023-7028, est un problème d'authentification qui permet d'envoyer des réinitialisations de mot de passe à des adresses e-mail non vérifiées et a un score de gravité maximum de 10. Les acteurs malveillants n'ont pas besoin d'interaction pour réussir à exploiter cette vulnérabilité. bien que GitLab ait noté qu'il n'a détecté aucune exploitation active.
Les versions concernées sont les 16.1 antérieures à la 16.1.5 ; 16.2 avant 16.2.8 ; 16.3 avant 16.3.6 ; 16.4 avant 16.4.4 ; 16.5 avant 16.5.6 ; 16.6 avant 16.6.4 ; et 16.7 avant 16.7.2.
La deuxième vulnérabilité critique, identifiée comme CVE-2023-5356, peut être utilisée pour usurper l'identité d'un autre utilisateur afin d'exécuter des commandes slash afin d'abuser de Slack/Mattermost. Il existe des contrôles d'autorisation incorrects dans toutes les versions à partir de 8.13 avant 16.5.6, toutes les versions de 16.6 à 16.6.4 et toutes les versions de 16.7 à 16.7.2.
Les trois autres vulnérabilités mentionnées dans le rapport sont liées au contournement de la suppression de l'approbation des CODEOWNERS ( CVE-2023-4812 ), aux espaces de travail créés sous un autre espace de noms racine ( CVE-2023-6955 ) et à la modification des métadonnées des commits signés ( CVE-2023- 2030 ).
GitLab recommande de mettre à niveau et d'activer l'authentification à deux facteurs pour tous les comptes.