Vulnerabilidad de evasión de control de autenticación 2FA para usuarios LDAP en GitLab

La vulnerabilidad CVE-2021-39890, de severidad crítica con una puntuación de 9.8, afecta al control de autenticación 2FA de usuarios LDAP de GitLab.

La explotación de la vulnerabilidad se debe a una falla de seguridad en una funcionalidad desconocida del componente LDAP, dentro de la cual un input desconocido es manipulado para provocar una evasión del control 2FA permitiendo a un atacante el acceso a páginas específicas con autenticación básica.

Esta vulnerabilidad podría ser explotada remotamente con la autenticación del atacante en Gitlab.

Las versiones afectadas son GitLab (Community / Enterprise Edition) 14.1.1 hasta 14.3.0.

Se recomienda instalar las actualizaciones oficiales ofrecidas por Gitlab:

• https://about.gitlab.com/update/

Referencias:

• https://www.cybersecurity-help.cz/vulnerabilities/57049/
• https://vuldb.com/?id.187581
• https://www.cve.org/CVERecord?id=CVE-2021-39890
• https://nvd.nist.gov/vuln/detail/CVE-2021-39890#vulnCurrentDescriptionTitle