Se ha identificado una vulnerabilidad en GitLab CE/EE, impactando todas las versiones de 16.0 a 16.5.8, 16.6 a 16.6.6, 16.7 a 16.7.4, y 16.8 a 16.8.1. Esta falla permite a los usuarios autenticados escribir archivos en cualquier ubicación del servidor GitLab durante el proceso de creación de un espacio de trabajo..
Seguimiento como CVE-2024-0402, la vulnerabilidad tiene un alto Puntuación CVSS de 9.9 de 10, enfatizando su gravedad.
CVE-2024-0402: Breve descripción técnica
El problema identificado afecta las versiones de GitLab CE/EE de 16.0 a 16.5.8, 16.6 a 16.6.6, 16.7 a 16.7.4, y 16.8 a 16.8.1. Permite a los usuarios autenticados escribir archivos en ubicaciones arbitrarias en el servidor GitLab durante la creación del espacio de trabajo.. GitLab solucionó rápidamente el problema con parches, respaldado a versiones 16.5.8, 16.6.6, 16.7.4, y 16.8.1.
Además de corregir el defecto crítico, GitLab abordó cuatro vulnerabilidades de gravedad media en la última actualización. Estas incluyen vulnerabilidades que podrían conducir a una expresión regular de denegación de servicio. (Rehacer), Inyección HTML, y la divulgación involuntaria de la dirección de correo electrónico pública de un usuario a través de las etiquetas RSS feed.
Este lanzamiento sigue a una actualización anterior de GitLab hace dos semanas, donde la plataforma DevSecOps resolvió dos deficiencias críticas, uno de los cuales podría explotarse para hacerse cargo de las cuentas sin ninguna interacción del usuario (CVE-2023-7028, Puntuación CVSS: 10.0).
CVE-2023-7028 fue informado por el investigador de seguridad 'Asterion’ a través de la plataforma de recompensas por errores de HackerOne. Fue presentado en mayo. 1, 2023, con versión 16.1.0, afectando varias versiones, incluyendo los anteriores 16.7.2. GitLab recomienda encarecidamente a los usuarios que actualicen a las versiones parcheadas (16.7.2, 16.5.6, y 16.6.4) o implementar la solución, que ha sido respaldado a versiones 16.1.6, 16.2.9, y 16.3.7.
Para mitigar riesgos potenciales, Se recomienda encarecidamente a los usuarios que actualicen rápidamente sus instalaciones de GitLab a la versión parcheada.. Cabe destacar que los entornos GitLab.com y GitLab Dedicated ya están ejecutando la última versión., subrayando la importancia de mantener el software actualizado para mejorar las medidas de seguridad y proteger contra amenazas emergentes..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: