GitLab ha lanzado actualizaciones de seguridad para Community Edition (CE) y
Enterprise Edition (EE) para abordar
ocho fallas de seguridad, incluido un error crítico que podría permitir
ejecutar canalizaciones de integración continua y entrega continua (CI/CD)
en ramas arbitrarias.
Registrada como CVE-2024-9164, la vulnerabilidad tiene una puntuación CVSS de
9,6 sobre 10.
«Se descubrió un problema en GitLab EE que afecta a todas las versiones
desde 12.5 anteriores a 17.2.9, desde 17.3, anteriores a 17.3.5 y desde 17.4
anteriores a 17.4.2, lo que permite ejecutar canalizaciones en ramas
arbitrarias»,
dijo GitLab en un aviso.
De los siete problemas restantes, cuatro tienen una calificación alta, dos
tienen una calificación media y uno tiene una calificación de gravedad baja.
-
CVE-2024-8970 (CVSS: 8,2): permite a un atacante activar una canalización
como otro usuario bajo determinadas circunstancias. -
CVE-2024-8977 (CVSS: 8.2): permite ataques SSRF en instancias de GitLab EE
con Product Analytics Dashboard configurado y habilitado. -
CVE-2024-9631 (CVSS: 7,5): provoca lentitud al visualizar diferencias de
solicitudes de fusión con conflictos. -
CVE-2024-6530 (CVSS: 7,3): da como resultado la inyección de HTML en la
página OAuth al autorizar una nueva aplicación debido a un problema de XSS.
El mes pasado, la empresa abordó otra falla crítica (CVE-2024-6678, CVSS: 9,9) que podría permitir a un atacante ejecutar trabajos en el
pipeline como un usuario arbitrario.
Antes de eso, también solucionó otras tres deficiencias similares:
CVE-2023-5009
(CVSS: 9,6),
CVE-2024-5655
(CVSS: 9,6) y
CVE-2024-6385
(CVSS: 9,6).
Si bien no hay evidencia de explotación activa de la vulnerabilidad, se
recomienda a los usuarios que
actualicen
sus instancias a la última versión para protegerse contra posibles amenazas.
Fuente:
THN