GitLab ha enviado otra ronda de actualizaciones para corregir fallas de seguridad en su plataforma de desarrollo de software, incluido un error crítico que permite a un atacante ejecutar trabajos de canalización como un usuario arbitrario.
Identificada como CVE-2024-6385, la vulnerabilidad tiene una puntuación CVSS de 9,6 sobre un máximo de 10,0.
«Se descubrió un problema en GitLab CE/EE que afecta a las versiones 15.8 anteriores a 16.11.6, 17.0 anteriores a 17.0.4 y 17.1 anteriores a 17.1.2, que permite a un atacante activar una canalización como otro usuario en determinadas circunstancias», dijo la empresa. dicho en un aviso del miércoles.
Vale la pena señalar que la compañía corrigió un error similar a fines del mes pasado (CVE-2024-5655, puntaje CVSS: 9.6) que también podría usarse para ejecutar pipelines como otros usuarios.
GitLab también abordó un problema de gravedad media (CVE-2024-5257, puntuación CVSS: 4.9) que permite que un usuario desarrollador con permisos admin_compliance_framework modifique la URL de un espacio de nombres de grupo.
Se han corregido todas las deficiencias de seguridad en las versiones 17.1.2, 17.0.4 y 16.11.6 de GitLab Community Edition (CE) y Enterprise Edition (EE).
La revelación se produce cuando Citrix liberado actualizaciones para una falla crítica e incorrecta de autenticación que afecta a NetScaler Console (anteriormente NetScaler ADM), NetScaler SDX y NetScaler Agent (CVE-2024-6235, puntuación CVSS: 9,4) y que podría provocar la divulgación de información.
Broadcom también ha publicado parches para dos vulnerabilidades de inyección de gravedad media en Director de nube de VMware (CVE-2024-22277, puntuación CVSS: 6,4) y Automatización de VMware Aria (CVE-2024-22280, puntuación CVSS: 8,5) que podrían utilizarse para ejecutar código malicioso mediante etiquetas HTML y consultas SQL especialmente diseñadas, respectivamente.
CISA publica boletines para abordar fallas de software
Los avances también siguen a un nuevo boletín publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) y la Oficina Federal de Investigaciones (FBI) que insta a los fabricantes de tecnología a eliminar las fallas de inyección de comandos del sistema operativo (SO) en el software que permiten a los actores de amenazas ejecutar código de forma remota en dispositivos de borde de la red.
Estas fallas surgen cuando la entrada del usuario no se desinfecta y valida adecuadamente al construir comandos que se ejecutarán en el sistema operativo subyacente, lo que permite que un adversario introduzca comandos arbitrarios que pueden conducir a la implementación de malware o al robo de información.
«Las vulnerabilidades de inyección de comandos del sistema operativo se han podido prevenir desde hace mucho tiempo separando claramente la entrada del usuario del contenido de un comando», dijeron las agencias. dicho. «A pesar de este hallazgo, las vulnerabilidades de inyección de comandos del sistema operativo, muchas de las cuales resultan de CWE-78 — siguen siendo una clase predominante de vulnerabilidad».
La alerta es la tercera de este tipo emitida por la CISA y el FBI desde principios de año. Las agencias enviaron anteriormente otras dos alertas sobre la necesidad de eliminar inyección SQL (SQLi) y vulnerabilidades de recorrido de ruta en marzo y mayo de 2024.
El mes pasado, CISA, junto con agencias de ciberseguridad de Canadá y Nueva Zelanda, también publicó una guía que recomienda a las empresas adoptar soluciones de seguridad más sólidas, como Confianza ceroServicio de borde seguro (ESS) y el servicio de acceso seguro Edge (SASE) — que proporcionan una mayor visibilidad de la actividad de la red.
«Al utilizar políticas de control de acceso basadas en riesgos para tomar decisiones a través de motores de decisión de políticas, estas soluciones integran seguridad y control de acceso, fortaleciendo la usabilidad y seguridad de una organización a través de políticas adaptativas», dijeron las agencias autoras. anotado.