Se informado por parte del fabricante del software GitLab, que se han liberado parches de seguridad que abordan varias vulnerabilidades, entre ellas varias de severidad alta y una de crítica, que afectan a múltiples versiones del software GitLab Community Edition (CE) y Enterprise Edition (EE).
Productos o ítems afectados:
- GitLab Community Edition (CE), GitLab Enterprise Edition (EE)
- Versiones afectadas: 15.8 a 16.11.5, 17.0 a 17.0.3, 17.1 a 17.1.1
Impacto de la vulnerabilidad:
CVE-2024-5655: Se ha asignado una puntuación en CVSSv3 de 9.6, con una severidad “crítica”. Podría permitir a un actor malicioso activar un pipeline como otro usuario, lo que le daría acceso a información confidencial, interrumpir servicios críticos o lanzar ataques más complejos.
CVE-2024-4901: Se ha asignado una puntuación en CVSSv3 de 8.7, con una severidad alta. Una vulnerabilidad de Cross-Site Scripting (XSS) Almacenado, podría permitir a un actor malicioso inyectar código malicioso a través de notas de confirmación (commit notes) en un proyecto, permitiendo el robo de sesiones de usuarios, realizar acciones no autorizadas, afectando a la integridad, confidencialidad y disponibilidad del sistema. La vulnerabilidad puede ser explotada de forma remota y a distancia.
CVE-2024-6323: Se ha asignado una puntuación en CVSSv3 de 7.5, con una severidad alta. Una autorización indebida en la búsqueda global podría permitir a un actor malicioso filtrar el contenido de un repositorio privado en un proyecto público.
Recomendación:
Se recomienda a los administradores de sistemas afectados, que actualicen a las últimas versiones del parche disponibilizado por el fabricante del software.
Enlaces de referencia:
- https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-5655
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4901
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-6323