Casa > Ciber Noticias > CVE-2023-7028: GitLab corrige fallas críticas de secuestro de cuentas
CYBER NOTICIAS

CVE-2023-7028: GitLab corrige fallas críticas de secuestro de cuentas

por   |  Last Update:  |  0 Comentarios  

GitLab ha lanzado actualizaciones de seguridad cruciales para sus ediciones Community y Enterprise para contrarrestar dos vulnerabilidades críticas.. Una de estas vulnerabilidades tiene el potencial de secuestrar cuentas sin interacción del usuario., lo que representa una amenaza significativa para las organizaciones que confían en GitLab para su plataforma DevSecOps.

CVE-2023-7028 falla crítica de gitlab-min

CVE-2023-7028 (Gravedad: 10/10)

El problema de seguridad más grave, rastreado como CVE-2023-7028, se destaca con una puntuación de gravedad máxima de 10 de 10.

Este Fallo de GitLab permite la apropiación de cuentas sin ninguna interacción del usuario, creando un grave riesgo para las organizaciones. La vulnerabilidad radica en un problema de autenticación que permite enviar solicitudes de restablecimiento de contraseña a sitios arbitrarios., direcciones de correo electrónico no verificadas. Incluso si la autenticación de dos factores (2FA) está activo, es posible restablecer la contraseña, pero el inicio de sesión exitoso aún requiere el segundo factor de autenticación.

CVE-2023-7028 fue descubierto e informado por el investigador de seguridad 'Asterion’ a través de la plataforma de recompensas por errores de HackerOne. Introducido en mayo 1, 2023, con versión 16.1.0, afecta a varias versiones, incluyendo aquellos anteriores a 16.7.2. GitLab insta encarecidamente a los usuarios a actualizar a las versiones parcheadas (16.7.2, 16.5.6, y 16.6.4) o aplicar la solución retroportada a las versiones 16.1.6, 16.2.9, y 16.3.7.

CVE-2023-5356 (Gravedad: 9.6/10)

La segunda vulnerabilidad crítica, identificado como CVE-2023-5356, lleva una puntuación de gravedad de 9.6 de 10. Esta falla permite a los atacantes explotar las integraciones de Slack/Mattermost, ejecutar comandos de barra diagonal como otro usuario. Tanto en Mattermost como en Slack, Los comandos de barra diagonal desempeñan un papel crucial en la integración de aplicaciones externas y la invocación de aplicaciones en el cuadro de redacción de mensajes..




Además de estas vulnerabilidades críticas, GitLab ha abordado varios otros problemas en su última versión, versión 16.7.2, Incluido:

CVE-2023-4812: Omitir CODEOWNERS (Gravedad: Alto)

GitLab 15.3 y las versiones posteriores enfrentaron una vulnerabilidad de alta gravedad, denominado CVE-2023-4812. Esta falla permitió eludir la aprobación de CODEOWNERS mediante la manipulación de solicitudes de fusión previamente sancionadas.. La posibilidad de cambios no autorizados planteaba un riesgo significativo para la integridad del sistema de control de versiones..

CVE-2023-6955: Control de acceso a espacios de trabajo (Gravedad: Notable)

Versiones de GitLab anteriores 16.7.2 exhibió un control de acceso inadecuado a los espacios de trabajo, como se destaca en CVE-2023-6955. Esta falla permitió a los atacantes crear un espacio de trabajo dentro de un grupo, asociarlo con un agente de un grupo completamente diferente. Las implicaciones de dicha creación no autorizada de espacios de trabajo introdujeron una vulnerabilidad notable en la arquitectura de seguridad de GitLab..

CVE-2023-2030: Confirmar validación de firma (Gravedad: Significativo)

Un error de validación de firma de confirmación, categorizado bajo CVE-2023-2030, versiones afectadas de GitLab CE/EE a partir de 12.2 y adelante. Esta falla presentaba un riesgo significativo al permitir la modificación de metadatos asociados con confirmaciones firmadas debido a insuficiencias en el proceso de validación de firmas.. La posible manipulación de los metadatos de confirmación generó preocupaciones sobre la integridad general y la autenticidad del código controlado por versión..

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Artículos Relacionados:
  1. GitLab Corrección de secuestro de sesiones de errores que expuso a los usuarios a los ataques cibernéticos Atacantes que pretendían explotar a los usuarios mediante el secuestro de sesiones..
  2. CVE-2022-2884: Vulnerabilidad crítica de GitLab permite la ejecución remota de código GitLab reveló una vulnerabilidad crítica para las sucursales 15.1, 15.2, y...
  3. Adobe Parches 112 Vulnerabilidades en último parche paquete (CVE-2018-5007) Adobe ha lanzado el último paquete de parches que aborda un....
  4. CVE-2022-1680: Vulnerabilidad crítica de GitLab permite la adquisición de cuentas GitLab ha descubierto y reparado una vulnerabilidad altamente crítica que....
  5. Enero 2023 Patch Tuesday corrige CVE-2023-21674 activamente explotado Las primeras correcciones del martes de parches enviadas por Microsoft para 2023...
  6. CVE-2020-3382: Cisco corrige fallas críticas en DCNM y SD-WAN Otro conjunto de vulnerabilidades críticas en los productos de Cisco fue simplemente....
  7. CVE-2023-45866: Apple corrige vulnerabilidades críticas en iOS y macOS Apple rolled out a comprehensive set of security updates on...
  8. CVE-2023-38547: Defectos críticos en Veeam Veeam has swiftly responded to security concerns by releasing updates...

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo