Casa > Ciber Noticias > CVE-2022-1680: Vulnerabilidad crítica de GitLab permite la adquisición de cuentas
CYBER NOTICIAS

CVE-2022-1680: Vulnerabilidad crítica de GitLab permite la adquisición de cuentas

software-vulnerabilidad-alerta-sensorestechforum

GitLab ha descubierto y reparado una vulnerabilidad altamente crítica que podría conducir a cuenta pública de adquisición.

Rastreado como CVE-2022-1680 y clasificado 9.9 de 10 en la escala CVSS, la falla afecta a todas las versiones de GitLab Enterprise Edition desde 11.10 antes de 14.9.5, todas las versiones a partir de 14.10 antes de 14.10.4, todas las versiones a partir de 15.0 antes de 15.0.1. El problema fue descubierto internamente por un miembro del equipo..




CVE-2022-1680: Vulnerabilidad de GitLab

¿Cómo se puede explotar la vulnerabilidad de apropiación de cuenta en GitLab Enterprise Edition??

De acuerdo a el asesor oficial, “cuando el grupo SAML SSO está configurado, la función SCIM (disponible solo en suscripciones Premium+) puede permitir que cualquier propietario de un grupo Premium invite a usuarios arbitrarios a través de su nombre de usuario y correo electrónico, luego cambia esos usuarios’ direcciones de correo electrónico a través de SCIM a una dirección de correo electrónico controlada por un atacante y, por lo tanto, – en ausencia de 2FA – hacerse cargo de esas cuentas.

Un atacante también puede cambiar el nombre para mostrar y el nombre de usuario de la cuenta objetivo..

“Los administradores autogestionados pueden verificar si group_saml está habilitado revisando “Configuración de Group SAML en una instancia de GitLab autogestionada,” la empresa agregó.

Gitlab solucionó otros siete problemas de seguridad en las versiones 15.0.1, 14.10.4, y 14.9.5 de su software, dos de los cuales tienen una clasificación alta en gravedad, cuatro tienen una calificación media, y uno – bajo.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo