GitLab のアカウント乗っ取りの脆弱性 CVE-2022-1680 が FIX:速やかなアップデートを推奨

GitLab Issues Security Patch for Critical Account Takeover Vulnerability

2022/06/03 TheHackerNews — GitLab は、同社のサービスに存在する、アカウントを乗っ取りにいたる可能性のある、申告なセキュリティ欠陥に対処するための措置を講じた。この脆弱性 CVE-2022-1680 (CVSS:9.9) は、GitLab 内部で発見されたものであり、GitLab Enterprise Edition (EE) の 11.10〜14.9.5/14.10〜14.10.4/15.0〜15.0.1 の、すべてのバージョンに影響を及ぼるとされる。


GitLab は、「グループ SAML SSO がコンフィグレーションされている場合、SCIM 機能 (Premium +サブスクリプションでのみ使用可能) により、Premium グループの所有者は、ユーザー名と電子メールを介して、任意のユーザーを招待することが許される。そして、それらのユーザーの電子メールアドレスを、SCIM を介して攻撃者が制御する電子メール・アドレスに変更することが可能だ。 したがって、2FA が使用されていない場合には、これらのアカウントは引き継がれてしまう」と述べている。

同社は、2022年6月1日に発表したアドバイザリで、この脆弱性の悪用に成功した攻撃者は、標的となるアカウントの表示名とユーザー名を変更することも可能だと指摘している。

GitLab のバージョン 15.0.1/14.10.4/14.9.5 で解決された脆弱性は、この他に7件あり、そのうち2件は深刻度が High/4件は Medium/1件は Low である。上記の脆弱性の影響を受けるバージョンを利用しているユーザーに対しては、可能な限り早急な、最新バージョンへのアップグレードが推奨されている。

お隣のキュレーションチームに聞いてみたら、脆弱性 CVE-2022-1680 については、6月3日のレポートで対応しているとのことです。同時に、その他の脆弱性として、CVE-2022-1940/CVE-2022-1948/CVE-2022-1935/CVE-2022-1936/CVE-2022-1944/CVE-2022-1821/CVE-2022-1783 が修正されているようです。GitLab については、4月1日にも、アカウント乗っ取りの脆弱性 CVE-2022-1162 が報道されていました。

%d bloggers like this: