Cabecera-v2-web.jpg

Múltiples vulnerabilidades en Gitlab


01/04/2022

‎Gitlab ha publicado actualizaciones de seguridad que subsanan múltiples vulnerabilidades en varios de sus productos, que permitirían a un atacante acceder a credenciales, realizar ataques del tipo cross-site scripting (XSS), acceder al token de registro y variables de entorno o causar una denegación de servicio (DoS), entre otros.

Las vulnerabilidades reportadas se componen de 1 (una) de severidad Crítica, 2 (dos) de severidad Alta, 9 (nueve) de severidad “Media” y 5 (cinco) de severidad “Baja”. Las principales se detallan a continuación:

  • CVE-2022-1162, vulnerabilidad de severidad crítica, con una puntuación asignada de 9.1. La misma se debe a que para las cuentas registradas con un proveedor de OmniAuth (p. ej., OAuth, LDAP y SAML) en GitLab CE/EE se utiliza una contraseña incrustada en código (hardcoded). Un atacante podría aprovechar esta vulnerabilidad para tomar control de las cuentas creadas por este método.
  • CVE-2022-1175, vulnerabilidad de severidad alta, con una puntuación asignada de 8.7. La misma se debe a la neutralización incorrecta de la entrada del usuario en la funcionalidad de notas de GitLab CE/EE. Un atacante podría aprovechar esta vulnerabilidad para realizar ataques del tipo cross-site scripting (XSS) persistente inyectando HTML entre las notas de Gitlab.
  • CVE-2022-1190, vulnerabilidad de severidad alta, con una puntuación asignada de 8.7. La misma se debe a el manejo inadecuado de la entrada del usuario en la funcionalidad de referencias “Multiword milestone” de GitLab CE/EE. Un atacante podría aprovechar esta vulnerabilidad para realizar ataques del tipo cross-site scripting (XSS) persistente en descripciones de problemas, comentarios, etc.

Para visualizar la lista detallada de las vulnerabilidades subsanadas, ingresar a este enlace.

Las versiones de los productos afectados en GitLab son:

  • GitLab CE/EE, todas las versiones anteriores a 14.9.2, 14.8.5, y 14.7.7.
  • GitLab Omnibus, todas las versiones anteriores a 14.9.2, 14.8.5, y 14.7.7.
  • GitLab Charts, todas las versiones anteriores a 14.9.2, 14.8.5, y 14.7.7.
  • GitLab Pages, todas las versiones anteriores a 14.9.2, 14.8.5, y 14.7.7.

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11