Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Alertas

Vulnerabilidades en GitLab 2024

28 Jun 2024

GitLab lanza actualizaciones de seguridad de forma periódica para abordar múltiples vulnerabilidades detectadas en versiones anteriores. Estas vulnerabilidades, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.

A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas por GitLab durante este año. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad de los distintos dispositivos de seguridad, por lo que es vital que todos los usuarios actualicen sus dispositivos periódicamente.

Tabla de contenidos

Vulnerabilidades en GitLab 28 de junio 2024

INTRODUCCIÓN

Gitlab ha publicado múltiples vulnerabilidades que afectan a Gitlab CE/EE, una de las cuales es crítica.

ANÁLISIS

CVE-2024-4901 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N - 8.7:

Se ha detectado una vulnerabilidad en GitLab CE/EE por el que se podía importar una vulnerabilidad XSS almacenada de un proyecto con notas de confirmación maliciosas.

CVE-2024-5655 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N - 9.6:

Se ha detectado una vulnerabilidad en GitLab CE/EE que permite a un atacante activar una pipeline como otro usuario en determinadas circunstancias.

CVE-2024-6323 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N - 7.5:

La autorización inadecuada en la búsqueda global en GitLab EE permite a un atacante filtrar el contenido de un repositorio privado en un proyecto público.

VERSIONES AFECTADAS

Todas las versiones GitLab CE/EE  a partir de la 15.8 previa a la 16.11.5, a partir de la 17.0 previa a la 17.0.3, y a partir de la 17.1 previa a la 17.1.1

RECOMENDACIONES

  • Actualice a GitLab CE/EE 16.11.5

  • Actualice a GitLab CE/EE 17.0.3

  • Actualice a GitLab CE/EE 17.1.1

REFERENCIAS

https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/ 
https://nvd.nist.gov/vuln/detail/CVE-2024-4901 
https://nvd.nist.gov/vuln/detail/CVE-2024-5655 
https://nvd.nist.gov/vuln/detail/CVE-2024-6323 

Vulnerabilidades en GitLab 12 de abril 2024

INTRODUCCIÓN

Se descubre dos vulnerabilidades que afectan a GitLab CE/EE que permiten a un atacante realizar acciones arbitrarias en nombre de las víctimas.

ANÁLISIS

CVE-2024-3092 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N - 8.7:

Permite a un atacante inyectar código XSS almacenado mientras se usa el visor de diferencias.

CVE-2024-2279 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N - 8.7:

Permite a un atacante inyectar código XSS malicioso en la función de autocompletar para referencias de problemas de GitLab.

VERSIONES AFECTADAS

  • Gitlab versiones 16.10 a 16.10.1

  • Gitlab versiones 16.9 a 16.9.3

  • Gitlab versiones 16.7 a 16.8.5

RECOMENDACIONES

  • Actualice a la versión 16.10.2

  • Actualice a la versión 16.9.4

  • Actualice a la versión 16.8.6

REFERENCIAS

https://nvd.nist.gov/vuln/detail/CVE-2024-3092 
https://nvd.nist.gov/vuln/detail/CVE-2024-2279 
https://about.gitlab.com/releases/2024/04/10/patch-release-gitlab-16-10-2-released/ 

Vulnerabilidades en GitLab 7 de marzo 2024

INTRODUCCIÓN

Vulnerabilidad de omisión de autorización en GitLab donde un atacante podría hacer un bypass a CODEOWNERS utilizando un payload diseñado en una rama de funciones antigua para realizar acciones maliciosas.

ANÁLISIS

CVE-2024-0199 CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N - 7.7:

Bypass de CODEOWNERS utilizando un payload diseñado en una rama de funciones antigua.

VERSIONES AFECTADAS

Afecta a versiones 11.3 anteriores a 16.7.7, 16.7.6 anteriores a 16.8.4 y 16.8.3 anteriores a 16.9.2

RECOMENDACIONES

Actualice a una de las versiones 16.9.2, 16.8.4, 16.7.7

REFERENCIAS

https://about.gitlab.com/releases/2024/03/06/security-release-gitlab-16-9-2-released/ 
https://nvd.nist.gov/vuln/detail/CVE-2024-0199

Vulnerabilidades en GitLab 17 de enero 2024

INTRODUCCIÓN

Existe una nueva vulnerabilidad crítica que afecta a GitLab. Esta vulnerabilidad CVE-2023-7028 permitiría a un atacante remoto tomar el control de las cuentas de otros usuarios en caso de no tener activada la autenticación de dos factores.

ANÁLISIS

CVE-2023-7028 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10:

Se ha descubierto un problema en GitLab CE/EE en el que los correos electrónicos de restablecimiento de contraseña de cuenta de usuario podrían enviarse a una dirección de correo electrónico no verificada.

VERSIONES AFECTADAS

  • Gitlab versiones 16.1 a 16.1.5

  • Gitlab versiones 16.2 a 16.2.8

  • Gitlab versiones 16.3 a 16.3.6

  • Gitlab versiones 16.4 a 16.4.4

  • Gitlab versiones 16.5 a 16.5.5

  • Gitlab versiones 16.6 a 16.6.3

  • Gitlab versiones 16.7 a 16.7.1

RECOMENDACIONES

  • Actualice a la versión 16.7.2 de Gitlab

  • Actualice a la versión 16.6.4 de Gitlab

  • Actualice a la versión 16.5.6 de Gitlab

  • Actualice a la versión 16.4.5 de Gitlab

  • Actualice a la versión 16.3.7 de Gitlab

  • Actualice a la versión 16.2.9 de Gitlab

  • Actualice a la versión 16.1.6 de Gitlab

Además, Gitlab recomienda activar la autenticación de dos factores (2FA) para todas las cuentas de GitLab.

REFERENCIAS

https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/

Artículos relacionados
Ver todas →
Alertas
Vulnerabilidad WordPress Plugin File Manager
Leer más →
Alertas
Vulnerabilidad crítica de VPN Pulse Secure
Leer más →
Alertas
INFRA:HALT. Múltiples vulnerabilidades en NicheStack
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día