Múltiples vulnerabilidades en GitLab

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a varios productos de GitLab, que permitirían a un atacante realizar ejecución remota de código (RCE), ataques de cross-site scripting (XSS), entre otros.

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica”, 3 (tres) de severidad “Alta”, 7 (siete) de severidad “Media”, 5 (cinco) de severidad “Baja”. Las principales se detallan a continuación:

CVE-2022-2185, de severidad “Crítica” y puntuación asignada de 9.9. Esta vulnerabilidad se debe a una falla que permite la importación de un proyecto malicioso especialmente diseñado por parte de un usuario autorizado, afectando a todas las versiones a partir de 14.0 anterior a 14.10.5, 15.0 anterior a 15.0.4 y 15.1 anterior a 15.1.1. Un atacante remoto podría aprovechar esto para realizar ejecución remota de código (RCE).

CVE-2022-2235, de severidad “Alta” y puntuación asignada de 8.7. Esta vulnerabilidad se debe al saneamiento insuficiente de entradas en el rastreador de problemas externo de GitLab EE. Un atacante podría realizar ataques de cross-site scripting (XSS).

CVE-2022-2230, de severidad “Alta” y puntuación asignada de 8.1. Esta vulnerabilidad de cross-site scripting (XSS) se debe a un error que se encuentra almacenado en la página de configuración del proyecto en GitLab CE/EE. Un atacante remoto podría realizar ejecución remota de código (RCE) JavaScript en el sistema afectado.

Puede acceder a la lista completa de vulnerabilidades aquí.

Estas vulnerabilidades están presentes en versiones anteriores a la 15.1.1, 15.0.4 y 14.10.5 de los productos:

GitLab Community Edition (CE).
GitLab Enterprise Edition (EE).

Recomendamos acceder a las actualizaciones proporcionadas por GitLab en el siguiente enlace:

https://about.gitlab.com/update/

Referencias:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2230