Vulnerabilidad crítica en GitLab (CVE-2022-0735)

ANÁLISIS

Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde la 12.10 hasta la 14.6.5, todas las versiones desde la 14.7 hasta la 14.7.4 y todas las versiones desde la 14.8 hasta la 14.8.2. Un usuario no autorizado podía robar tokens de registro de corredores a través de una vulnerabilidad de divulgación de información utilizando comandos de acciones rápidas. Este es un problema de gravedad crítica y tiene una puntuación CVSS:3.1 de 9.6. [2]

RECOMENDACIONES

Para las instancias autogestionadas que no estén en la versión 14.6 o superior, GitLab ha publicado parches que pueden aplicarse para mitigar la vulnerabilidad de divulgación de tokens de registro de corredores a través de acciones rápidas. Estos parches deben considerarse temporales. Cualquier instancia de GitLab debe ser actualizada a una versión parcheada de 14.8.2, 14.7.4, o 14.6.5 tan pronto como sea posible.

REFERENCIAS

[1] Múltiples vulnerabilidades en productos de GitLab | INCIBE-CERT 
[2] Múltiples vulnerabilidades en dispositivos de Cisco | INCIBE