Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • GitLab corrige un error crítico que permite trabajos de pipeline no autorizados
  • Tecnología

GitLab corrige un error crítico que permite trabajos de pipeline no autorizados

teknomers 11 de Temmuz de 2024 (Last updated: 11 de Temmuz de 2024) 4 minutes read
GitLab corrige un error crítico que permite trabajos de pipeline


11 de julio de 2024Sala de prensaSeguridad del software / Vulnerabilidad

GitLab ha enviado otra ronda de actualizaciones para corregir fallas de seguridad en su plataforma de desarrollo de software, incluido un error crítico que permite a un atacante ejecutar trabajos de canalización como un usuario arbitrario.

Identificada como CVE-2024-6385, la vulnerabilidad tiene una puntuación CVSS de 9,6 sobre un máximo de 10,0.

“Se descubrió un problema en GitLab CE/EE que afecta a las versiones 15.8 anteriores a 16.11.6, 17.0 anteriores a 17.0.4 y 17.1 anteriores a 17.1.2, que permite a un atacante activar una canalización como otro usuario en determinadas circunstancias”, dijo la empresa. dicho en un aviso del miércoles.

Vale la pena señalar que la compañía corrigió un error similar a fines del mes pasado (CVE-2024-5655, puntaje CVSS: 9.6) que también podría usarse para ejecutar pipelines como otros usuarios.

La seguridad cibernética

GitLab también abordó un problema de gravedad media (CVE-2024-5257, puntuación CVSS: 4.9) que permite que un usuario desarrollador con permisos admin_compliance_framework modifique la URL de un espacio de nombres de grupo.

Se han corregido todas las deficiencias de seguridad en las versiones 17.1.2, 17.0.4 y 16.11.6 de GitLab Community Edition (CE) y Enterprise Edition (EE).

La revelación se produce cuando Citrix liberado actualizaciones para una falla crítica e incorrecta de autenticación que afecta a NetScaler Console (anteriormente NetScaler ADM), NetScaler SDX y NetScaler Agent (CVE-2024-6235, puntuación CVSS: 9,4) y que podría provocar la divulgación de información.

Broadcom también ha publicado parches para dos vulnerabilidades de inyección de gravedad media en Director de nube de VMware (CVE-2024-22277, puntuación CVSS: 6,4) y Automatización de VMware Aria (CVE-2024-22280, puntuación CVSS: 8,5) que podrían utilizarse para ejecutar código malicioso mediante etiquetas HTML y consultas SQL especialmente diseñadas, respectivamente.

CISA publica boletines para abordar fallas de software

Los avances también siguen a un nuevo boletín publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) y la Oficina Federal de Investigaciones (FBI) que insta a los fabricantes de tecnología a eliminar las fallas de inyección de comandos del sistema operativo (SO) en el software que permiten a los actores de amenazas ejecutar código de forma remota en dispositivos de borde de la red.

Estas fallas surgen cuando la entrada del usuario no se desinfecta y valida adecuadamente al construir comandos que se ejecutarán en el sistema operativo subyacente, lo que permite que un adversario introduzca comandos arbitrarios que pueden conducir a la implementación de malware o al robo de información.

“Las vulnerabilidades de inyección de comandos del sistema operativo se han podido prevenir desde hace mucho tiempo separando claramente la entrada del usuario del contenido de un comando”, dijeron las agencias. dicho. “A pesar de este hallazgo, las vulnerabilidades de inyección de comandos del sistema operativo, muchas de las cuales resultan de CWE-78 — siguen siendo una clase predominante de vulnerabilidad”.

La alerta es la tercera de este tipo emitida por la CISA y el FBI desde principios de año. Las agencias enviaron anteriormente otras dos alertas sobre la necesidad de eliminar inyección SQL (SQLi) y vulnerabilidades de recorrido de ruta en marzo y mayo de 2024.

La seguridad cibernética

El mes pasado, CISA, junto con agencias de ciberseguridad de Canadá y Nueva Zelanda, también publicó una guía que recomienda a las empresas adoptar soluciones de seguridad más sólidas, como Confianza ceroServicio de borde seguro (ESS) y el servicio de acceso seguro Edge (SASE) — que proporcionan una mayor visibilidad de la actividad de la red.

“Al utilizar políticas de control de acceso basadas en riesgos para tomar decisiones a través de motores de decisión de políticas, estas soluciones integran seguridad y control de acceso, fortaleciendo la usabilidad y seguridad de una organización a través de políticas adaptativas”, dijeron las agencias autoras. anotado.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Prince Lasha Quintet: “The Cry!” se reedita en vinilo
Next: Los motivos del penalti de Zwayer en Inglaterra contra Holanda

Related Stories

Rebajado al -44%, este aspirador robot lavador Roborock con su
  • Tecnología

Rebajado al -44%, este aspirador robot lavador Roborock con su estación multifunción 4-en-1 está arrasando.

teknomers 13 de Temmuz de 2026
Beatbot Sora 30: el robot de piscina inteligente que pasa
  • Tecnología

Beatbot Sora 30: el robot de piscina inteligente que pasa a la ofensiva con 320 € de descuento

teknomers 13 de Temmuz de 2026
Coches eléctricos: los ladrones de cables de estaciones de carga
  • Tecnología

Coches eléctricos: los ladrones de cables de estaciones de carga empiezan a ser condenados

teknomers 13 de Temmuz de 2026

You May Have Missed

  • General

Lecciones de vida sobre la preparación para el éxito: proverbio japonés del día: ‘La batalla de mañana se gana durante el día de hoy…’ – este dicho japonés enseña inspiradoras lecciones de vida sobre por qué la práctica constante es la clave del éxito y cómo los pequeños esfuerzos diarios conducen a grandes victorias.

teknomers 13 de Temmuz de 2026
  • Deporte

Megan Finnigan: La capitana del Everton firma una extensión de contrato por un año con el club de WSL

teknomers 13 de Temmuz de 2026
Francia-España: «No le tememos a nadie», la confianza de Adrien
  • Deporte

Francia-España: «No le tememos a nadie», la confianza de Adrien Rabiot antes del choque en semifinales del Mundial

teknomers 13 de Temmuz de 2026
  • Cultura

Cerca de Toulouse, visitas con linterna al castillo de Riquet, el padre del canal del Midi

teknomers 13 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.