Le conducteur rejette 30 ans en danger

Sean (Ry) Sexe Sex s’est approché à la fin. C’est comme ça…

En mémoire Peugeot 508

#image_title
Logiciels

GitLab publie un correctif pour une vulnérabilité critique du pipeline CI/CD et 13 autres

Lire aussi :

Les actions de HubSpot chutent de 12 % après…

Un nouveau groupe de ransomware exploite la vulnérabilité du…

28 juin 2024RédactionSécurité logicielle / DevOps

Vulnérabilité du pipeline CI/CD

GitLab a publié des mises à jour de sécurité pour corriger 14 failles de sécurité, dont une vulnérabilité critique qui pourrait être exploitée pour exécuter des pipelines d’intégration continue et de déploiement continu (CI/CD) comme n’importe quel utilisateur.

Les faiblesses qui affectent GitLab Community Edition (CE) et Enterprise Edition (EE) ont été corrigées dans les versions 17.1.1, 17.0.3 et 16.11.5.

La plus grave des vulnérabilités est CVE-2024-5655 (Score CVSS : 9,6), ce qui pourrait permettre à un acteur malveillant de déclencher un pipeline sous le nom d’un autre utilisateur dans certaines circonstances.

Cela affecte les versions suivantes de CE et EE –

  • 17.1 avant 17.1.1
  • 17.0 avant 17.0.3, et
  • 15.8 avant le 16.11.5

GitLab a déclaré que le correctif introduit deux changements majeurs à la suite desquels l’authentification GraphQL à l’aide de CI_JOB_TOKEN est désactivée par défaut et les pipelines ne s’exécuteront plus automatiquement lorsqu’une demande de fusion est reciblée après la fusion de sa branche cible précédente.

La cyber-sécurité

Certains des autres défauts importants corrigés dans le cadre de la dernière version sont répertoriés ci-dessous :

  • CVE-2024-4901 (Score CVSS : 8,7) – Une vulnérabilité XSS stockée pourrait être importée à partir d’un projet avec des notes de validation malveillantes
  • CVE-2024-4994 (Score CVSS : 8,1) – Une attaque CSRF sur l’API GraphQL de GitLab conduisant à l’exécution de mutations GraphQL arbitraires
  • CVE-2024-6323 (Score CVSS : 7,5) – Une faille d’autorisation dans la fonction de recherche globale qui permet la fuite d’informations sensibles d’un référentiel privé au sein d’un projet public
  • CVE-2024-2177 (Score CVSS : 6,8) – Une vulnérabilité de falsification entre fenêtres qui permet à un attaquant d’abuser du flux d’authentification OAuth via une charge utile spécialement conçue

Bien qu’il n’y ait aucune preuve d’exploitation active des failles, il est recommandé aux utilisateurs d’appliquer les correctifs pour atténuer les menaces potentielles.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire davantage de contenu exclusif que nous publions.

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Les actions de HubSpot chutent de 12 % après qu’Alphabet ait…

Un nouveau groupe de ransomware exploite la vulnérabilité du logiciel…

Comment les équipes de plateformes créent des entreprises meilleures,…

Datadog (NASDAQ:DDOG) : meilleurs résultats du premier trimestre pour…

iOS 18 propose un nouveau fond d’écran dynamique aux couleurs…

8 raisons pour lesquelles les développeurs aiment Go et 8 raisons pour…

1 De 351

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite