GitLab lanza parches de seguridad urgentes para vulnerabilidades críticas

GitLab ha enviado parches de seguridad para resolver una falla crítica que permite a un atacante ejecutar pipelines como otro usuario.

El problema, rastreado como CVE-2023-5009 (puntuación CVSS: 9.6), afecta a todas las versiones de GitLab Enterprise Edition (EE) a partir de 13.12 y anteriores a 16.2.7, así como de 16.3 y antes de 16.3.4.

“Era posible que un atacante ejecutara pipelines  como un usuario arbitrario a través de políticas de análisis de seguridad programadas”, dijo GitLab en un aviso. “Este fue un bypass de CVE-2023-3932 que muestra un impacto adicional”.

La explotación exitosa de CVE-2023-5009 podría permitir que un actor de amenazas acceda a información confidencial o aproveche los permisos elevados del usuario suplantado para modificar el código fuente o ejecutar código arbitrario en el sistema, lo que tendría graves consecuencias.

El investigador de seguridad Johan Carlsson (también conocido como joaxcar) ha sido acreditado con el descubrimiento y la notificación de la falla. CVE-2023-3932 fue abordado por GitLab a principios de agosto de 2023.

La nueva vulnerabilidad se ha solucionado en las versiones 16.3.4 y 16.2.7 de GitLab.

La revelación se produce cuando un error crítico de GitLab de dos años (CVE-2021-22205, puntuación CVSS: 10.0) continúa siendo explotado activamente por actores de amenazas en ataques del mundo real.

A principios de esta semana, Trend Micro reveló que un adversario vinculado a China conocido como Earth Lusca está atacando agresivamente a los servidores públicos al armar fallas de seguridad de N-day, incluido CVE-2021-22205, para infiltrarse en las redes de víctimas.

Se recomienda encarecidamente que los usuarios actualicen sus instalaciones de GitLab a la última versión lo antes posible para protegerse contra posibles riesgos.

Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.