CVE-2022-1162 fallo que permitiría que atacantes puedan apoderarse de cuentas de GitLab

AS-031-2022

Fecha: 05/Abr/2022

Resumen:

En un análisis interno, GitLab determinó la vulnerabilidad crítica que permitiría, que atacantes externos se apoderen de cuentas de usuarios debido a una contraseña quemada en código.

El fallo, con CVE-2022-1162, afecta a las versiones de GitLab CE/EE desde la 14.7 hasta la 14.7.7, desde la 14.8 hasta la 14.8.5, y desde la 14.9 hasta la 14.9.2.

La contraseña fue quemada en código para las cuentas que se registraron utilizando OmniAuth (ejemplo: OAuth, LDAP, SAML).

El fabricante recomienda instalar las actualizaciones liberadas, y adicionalmente publicó un script para verificar las potenciales cuentas afectadas (https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/#script-to-identify-users-potentially-impacted-by-cve-2022-1162)

Referencias:

https://www.bleepingcomputer.com/news/security/critical-gitlab-vulnerability-lets-attackers-take-over-accounts/
https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/#script-to-identify-users-potentially-impacted-by-cve-2022-1162