CERTFR-2021-AVI-232 : Multiples vulnérabilités dans GitLab (01 avril 2021)
Risque(s)
- Déni de service
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- GitLab CE et EE versions antérieures à
13.10.1, 13.9.5 et 13.8.7
Résumé
De multiples vulnérabilités ont été découvertes dans GitLab. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service, une atteinte à l'intégrité des données et une atteinte à la confidentialité des données. Les identifiants CVE pour ces vulnérabilités ne sont pas encore connus.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité GitLab du 31 mars 2021
https://about.gitlab.com/releases/2021/03/31/security-release-gitlab-13-10-1-released/
- Vues : 352