L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) oblige toutes les agences fédérales à corriger une vulnérabilité critique dans les versions Community et Enterprise de GitLab, confirmant qu’elle est très active dans son exploitation. Lorsque la CISA ajoute une vulnérabilité à sa liste des vulnérabilités exploitées connues (KEV), cela signifie que toutes les agences civiles du pouvoir exécutif fédéral ont généralement un maximum de 21 jours pour corriger le problème afin de prévenir des attaques nuisibles contre le gouvernement. Le nom est quelque peu révélateur, cependant, les failles de sécurité ajoutées à la liste KEV signifient également qu’elles sont connues pour être activement exploitées, nécessitant une correction rapide. La vulnérabilité, identifiée sous le CVE-2023-7028, a été divulguée par GitLab en janvier et s’est vue attribuer la note maximale de 10 en termes de gravité par la plateforme elle-même, qui est une Autorité de Numérotation CVE certifiée (CNA). Cependant, la base de données nationale des vulnérabilités (NVD) lui a attribué une note de seulement 7,5. Au moment de la divulgation, GitLab a signalé que la vulnérabilité existait depuis mai 2023, bien qu’il n’y ait aucune preuve d’exploitation réussie. L’ajout à la liste KEV de la CISA signifie que ce n’est plus le cas, alors installez rapidement ces correctifs si ce n’était pas fait en janvier.
Menu
