Casa > Ciber Noticias > CVE-2022-1680: Vulnerabilidad crítica de GitLab permite la adquisición de cuentas
CYBER NOTICIAS

CVE-2022-1680: Vulnerabilidad crítica de GitLab permite la adquisición de cuentas

por   |  Last Update:  |  0 Comentarios  

software-vulnerabilidad-alerta-sensorestechforum

GitLab ha descubierto y reparado una vulnerabilidad altamente crítica que podría conducir a cuenta pública de adquisición.

Rastreado como CVE-2022-1680 y clasificado 9.9 de 10 en la escala CVSS, la falla afecta a todas las versiones de GitLab Enterprise Edition desde 11.10 antes de 14.9.5, todas las versiones a partir de 14.10 antes de 14.10.4, todas las versiones a partir de 15.0 antes de 15.0.1. El problema fue descubierto internamente por un miembro del equipo..




CVE-2022-1680: Vulnerabilidad de GitLab

¿Cómo se puede explotar la vulnerabilidad de apropiación de cuenta en GitLab Enterprise Edition??

De acuerdo a el asesor oficial, “cuando el grupo SAML SSO está configurado, la función SCIM (disponible solo en suscripciones Premium+) puede permitir que cualquier propietario de un grupo Premium invite a usuarios arbitrarios a través de su nombre de usuario y correo electrónico, luego cambia esos usuarios’ direcciones de correo electrónico a través de SCIM a una dirección de correo electrónico controlada por un atacante y, por lo tanto, – en ausencia de 2FA – hacerse cargo de esas cuentas.

Un atacante también puede cambiar el nombre para mostrar y el nombre de usuario de la cuenta objetivo..

“Los administradores autogestionados pueden verificar si group_saml está habilitado revisando “Configuración de Group SAML en una instancia de GitLab autogestionada,” la empresa agregó.

Gitlab solucionó otros siete problemas de seguridad en las versiones 15.0.1, 14.10.4, y 14.9.5 de su software, dos de los cuales tienen una clasificación alta en gravedad, cuatro tienen una calificación media, y uno – bajo.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Artículos Relacionados:
  1. CVE-2024-0402: Vulnerabilidad crítica de escritura de archivos en GitLab Se ha identificado una vulnerabilidad en GitLab CE/EE, impacting all...
  2. CVE-2023-7028: GitLab corrige fallas críticas de secuestro de cuentas GitLab has released crucial security updates for both its Community...
  3. CVE-2022-2884: Vulnerabilidad crítica de GitLab permite la ejecución remota de código GitLab reveló una vulnerabilidad crítica para las sucursales 15.1, 15.2, y...
  4. GitLab Corrección de secuestro de sesiones de errores que expuso a los usuarios a los ataques cibernéticos Atacantes que pretendían explotar a los usuarios mediante el secuestro de sesiones..
  5. CVE-2024-23917: Vulnerabilidad crítica de adquisición de JetBrains JetBrains, el reconocido desarrollador de entornos de desarrollo integrados, has issued...
  6. Retire premium Campo de Adware desde Mac Si se pregunta cómo ha aparecido la aplicación Premium Field....
  7. Alojamiento Web segura 2022 *Tras la reciente fuga de datos de la empresa DomainFactory, cual es...
  8. Retire premium Tabs Anuncios completamente 'Anuncios por pestañas premium': en caso de que vea alguno....

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo