Vulnerabilidades en GitLab 2024
GitLab lanza actualizaciones de seguridad de forma periódica para abordar múltiples vulnerabilidades detectadas en versiones anteriores. Estas vulnerabilidades, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.
A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas por GitLab durante este año. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad de los distintos dispositivos de seguridad, por lo que es vital que todos los usuarios actualicen sus dispositivos periódicamente.
Tabla de contenidos
Vulnerabilidades en GitLab 12 de abril 2024
INTRODUCCIÓN
Se descubre dos vulnerabilidades que afectan a GitLab CE/EE que permiten a un atacante realizar acciones arbitrarias en nombre de las víctimas.
ANÁLISIS
CVE-2024-3092 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N - 8.7:
Permite a un atacante inyectar código XSS almacenado mientras se usa el visor de diferencias.
CVE-2024-2279 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N - 8.7:
Permite a un atacante inyectar código XSS malicioso en la función de autocompletar para referencias de problemas de GitLab.
VERSIONES AFECTADAS
- Gitlab versiones 16.10 a 16.10.1
- Gitlab versiones 16.9 a 16.9.3
- Gitlab versiones 16.7 a 16.8.5
RECOMENDACIONES
- Actualice a la versión 16.10.2
- Actualice a la versión 16.9.4
- Actualice a la versión 16.8.6
REFERENCIAS
https://nvd.nist.gov/vuln/detail/CVE-2024-3092
https://nvd.nist.gov/vuln/detail/CVE-2024-2279
https://about.gitlab.com/releases/2024/04/10/patch-release-gitlab-16-10-2-released/
Vulnerabilidades en GitLab 7 de marzo 2024
INTRODUCCIÓN
Vulnerabilidad de omisión de autorización en GitLab donde un atacante podría hacer un bypass a CODEOWNERS utilizando un payload diseñado en una rama de funciones antigua para realizar acciones maliciosas.
ANÁLISIS
CVE-2024-0199 CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N - 7.7:
Bypass de CODEOWNERS utilizando un payload diseñado en una rama de funciones antigua.
VERSIONES AFECTADAS
Afecta a versiones 11.3 anteriores a 16.7.7, 16.7.6 anteriores a 16.8.4 y 16.8.3 anteriores a 16.9.2
RECOMENDACIONES
Actualice a una de las versiones 16.9.2, 16.8.4, 16.7.7
REFERENCIAS
https://about.gitlab.com/releases/2024/03/06/security-release-gitlab-16-9-2-released/
https://nvd.nist.gov/vuln/detail/CVE-2024-0199
Vulnerabilidades en GitLab 17 de enero 2024
INTRODUCCIÓN
Existe una nueva vulnerabilidad crítica que afecta a GitLab. Esta vulnerabilidad CVE-2023-7028 permitiría a un atacante remoto tomar el control de las cuentas de otros usuarios en caso de no tener activada la autenticación de dos factores.
ANÁLISIS
CVE-2023-7028 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10:
Se ha descubierto un problema en GitLab CE/EE en el que los correos electrónicos de restablecimiento de contraseña de cuenta de usuario podrían enviarse a una dirección de correo electrónico no verificada.
VERSIONES AFECTADAS
- Gitlab versiones 16.1 a 16.1.5
- Gitlab versiones 16.2 a 16.2.8
- Gitlab versiones 16.3 a 16.3.6
- Gitlab versiones 16.4 a 16.4.4
- Gitlab versiones 16.5 a 16.5.5
- Gitlab versiones 16.6 a 16.6.3
- Gitlab versiones 16.7 a 16.7.1
RECOMENDACIONES
- Actualice a la versión 16.7.2 de Gitlab
- Actualice a la versión 16.6.4 de Gitlab
- Actualice a la versión 16.5.6 de Gitlab
- Actualice a la versión 16.4.5 de Gitlab
- Actualice a la versión 16.3.7 de Gitlab
- Actualice a la versión 16.2.9 de Gitlab
- Actualice a la versión 16.1.6 de Gitlab
Además, Gitlab recomienda activar la autenticación de dos factores (2FA) para todas las cuentas de GitLab.
REFERENCIAS
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/