O GitLab corrigiu duas falhas críticas que afetavam as edições Community e Enterprise, incluindo uma vulnerabilidade crítica de sequestro de conta sem clique. A vulnerabilidade mais crítica, rastreada como CVE-2023-7028 (pontuação CVSS 10), é o controle de conta por meio de redefinição de senha. A falha pode ser explorada para sequestrar uma conta sem qualquer interação.
GitLab corrige duas falhas críticas
O GitLab emitiu um comunicado em que dizia:
Um problema foi descoberto no GitLab CE/EE afetando todas as versões de 16.1 antes de 16.1.6, 16.2 antes de 16.2.9, 16.3 antes de 16.3.7, 16.4 antes de 16.4.5, 16.5 antes de 16.5.6, 16.6 antes de 16.6.4 e 16.7 antes de 16.7.2 em que e-mails de redefinição de senha de conta de usuário poderiam ser entregues a um endereço de e-mail não verificado.
As falhas, agora corrigidas, impactam as seguintes versões: 16.1 antes de 16.1.5; 16.2 antes de 16.2.8; 16.3 antes de 16.3.6; 16.4 antes de 16.4.4; 16.5 antes de 16.5.6; 16.6 antes de 16.6.4 e; 16.7 antes de 16.7.2.
Exploração das falhas
A empresa não tem conhecimento de ataques que exploram a vulnerabilidade CVE-2023-7028. Recomenda-se que os clientes autogerenciados revisem seus logs para verificar possíveis tentativas de explorar esta vulnerabilidade:
- Verifique gitlab-rails/production_json.log para solicitações HTTP para o /users/password caminho com params.value.email que consiste em uma matriz JSON com vários endereços de e-mail.
- Verifique gitlab-rails/audit_json.log para entradas com meta.caller.id de PasswordsController#create e target_details consistindo em uma matriz JSON com vários endereços de e-mail.
A segunda vulnerabilidade corrigida pela empresa, rastreada como CVE-2023-5356 (pontuação CVSS 9,6) pode ser explorada por um invasor para abusar das integrações Slack/Mattermost e executar comandos de barra como outro usuário.
Verificações de autorização incorretas no GitLab CE/EE de todas as versões começando de 8.13 antes de 16.5.6, todas as versões começando de 16.6 antes de 16.6.4, todas as versões começando de 16.7 antes de 16.7.2, permite que um usuário abuse das integrações do Slack/Mattermost para execute comandos de barra como outro usuário..
Além das duas falhas críticas, o GitLab também abordou os seguintes problemas com o lançamento da versão 16.7.2: CVE-2023-4812 : Ignorar remoção de aprovação de CODEOWNERS; CVE-2023-6955 : Controle de acesso inadequado para espaços de trabalho; CVE-2023-2030 : A validação da assinatura de confirmação ignora os cabeçalhos após a assinatura.
A empresa incentiva as organizações a atualizarem suas instalações imediatamente. Inclusive, é sempre recomendado que se atualize imediatamente, sempre que uma atualização for lançada, já que elas sempre trazem algum tipo de correção ou recurso.