11 oct 2024

Vulnerabilidad crítica de GitLab podría permitir la ejecución arbitraria de canalizaciones de CI/CD

GitLab ha lanzado actualizaciones de seguridad para Community Edition (CE) y Enterprise Edition (EE) para abordar ocho fallas de seguridad, incluido un error crítico que podría permitir ejecutar canalizaciones de integración continua y entrega continua (CI/CD) en ramas arbitrarias.

Registrada como CVE-2024-9164, la vulnerabilidad tiene una puntuación CVSS de 9,6 sobre 10. "Se descubrió un problema en GitLab EE que afecta a todas las versiones desde 12.5 anteriores a 17.2.9, desde 17.3, anteriores a 17.3.5 y desde 17.4 anteriores a 17.4.2, lo que permite ejecutar canalizaciones en ramas arbitrarias", dijo GitLab en un aviso.

De los siete problemas restantes, cuatro tienen una calificación alta, dos tienen una calificación media y uno tiene una calificación de gravedad baja.

  • CVE-2024-8970 (CVSS: 8,2): permite a un atacante activar una canalización como otro usuario bajo determinadas circunstancias.
  • CVE-2024-8977 (CVSS: 8.2): permite ataques SSRF en instancias de GitLab EE con Product Analytics Dashboard configurado y habilitado.
  • CVE-2024-9631 (CVSS: 7,5): provoca lentitud al visualizar diferencias de solicitudes de fusión con conflictos.
  • CVE-2024-6530 (CVSS: 7,3): da como resultado la inyección de HTML en la página OAuth al autorizar una nueva aplicación debido a un problema de XSS.

El mes pasado, la empresa abordó otra falla crítica (CVE-2024-6678, CVSS: 9,9) que podría permitir a un atacante ejecutar trabajos en el pipeline como un usuario arbitrario.

Antes de eso, también solucionó otras tres deficiencias similares: CVE-2023-5009 (CVSS: 9,6), CVE-2024-5655 (CVSS: 9,6) y CVE-2024-6385 (CVSS: 9,6).

Si bien no hay evidencia de explotación activa de la vulnerabilidad, se recomienda a los usuarios que actualicen sus instancias a la última versión para protegerse contra posibles amenazas.

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!