CVE-2022-1162 fallo que permitiría que atacantes puedan apoderarse de cuentas de GitLab
AS-031-2022
Fecha: 05/Abr/2022
Resumen:
En un análisis interno, GitLab determinó la vulnerabilidad crítica que permitiría, que atacantes externos se apoderen de cuentas de usuarios debido a una contraseña quemada en código.
El fallo, con CVE-2022-1162, afecta a las versiones de GitLab CE/EE desde la 14.7 hasta la 14.7.7, desde la 14.8 hasta la 14.8.5, y desde la 14.9 hasta la 14.9.2.
La contraseña fue quemada en código para las cuentas que se registraron utilizando OmniAuth (ejemplo: OAuth, LDAP, SAML).
El fabricante recomienda instalar las actualizaciones liberadas, y adicionalmente publicó un script para verificar las potenciales cuentas afectadas (https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/#script-to-identify-users-potentially-impacted-by-cve-2022-1162)
Referencias:
https://www.bleepingcomputer.com/news/security/critical-gitlab-vulnerability-lets-attackers-take-over-accounts/
https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/#script-to-identify-users-potentially-impacted-by-cve-2022-1162