GitLab publica actualización crítica

La plataforma DevOps GitLab ha lanzado actualizaciones de software para abordar una vulnerabilidad de seguridad crítica que, si se explota potencialmente, podría permitir que un adversario tome el control de las cuentas.

Registrado como CVE-2022-1162, el problema tiene un puntaje CVSS de 9.1 y fue descubierto internamente por el equipo de GitLab. 

"Se estableció una contraseña codificada (hardcoded) para las cuentas registradas con un proveedor de OmniAuth (p. ej., OAuth, LDAP, SAML) en GitLab CE/EE versiones 14.7 anteriores a 14.7.7, 14.8 anteriores a 14.8.5 y 14.9 anteriores a 14.9.2 que permiten atacantes para potencialmente tomar el control de las cuentas", dijo la compañía en un aviso publicado el 31 de marzo.

GitLab, que solucionó el problema con las versiones 14.9.2, 14.8.5 y 14.7.7 para GitLab Community Edition (CE) y Enterprise Edition (EE). También dijo que tomó la medida de restablecer la contraseña de un número no especificado de usuarios por precaución. "Nuestra investigación no muestra indicios de que los usuarios o las cuentas se hayan visto comprometidos", agregó.

La empresa también ha publicado un script que los administradores de instancias autogestionadas pueden ejecutar para identificar cuentas potencialmente afectadas por CVE-2022-1162. Una vez que se identifican las cuentas afectadas, se recomienda restablecer la contraseña.

GitLab también abordó como parte de la actualización de seguridad dos errores de XSS almacenados de alta gravedad (CVE-2022-1175 y CVE-2022-1190), así como nueve fallas de gravedad media y cinco problemas que son calificada como baja en severidad.

En vista de la criticidad de algunos de los problemas, se recomienda encarecidamente a los usuarios que ejecutan instalaciones afectadas que actualicen a la última versión lo antes posible.

Fuente: THN

Suscríbete a nuestro Boletín