GitLab lanza parches de seguridad urgentes para vulnerabilidades críticas

20 de septiembre de 2023THNVulnerabilidad/Seguridad del software

GitLab ha enviado parches de seguridad para resolver una falla crítica que permite a un atacante ejecutar canalizaciones como otro usuario.

El problema, rastreado como CVE-2023-5009 (Puntuación CVSS: 9.6), afecta a todas las versiones de GitLab Enterprise Edition (EE) a partir de 13.12 y anteriores a 16.2.7, así como a partir de 16.3 y anteriores a 16.3.4.

“Era posible que un atacante ejecutar tuberías como un usuario arbitrario a través de políticas de análisis de seguridad programadas”, GitLab dicho en un aviso. “Esto fue un desvío de CVE-2023-3932 mostrando un impacto adicional”.

La explotación exitosa de CVE-2023-5009 podría permitir que un actor de amenazas acceda a información confidencial o aproveche los permisos elevados del usuario suplantado para modificar el código fuente o ejecutar código arbitrario en el sistema, lo que tendría graves consecuencias.

Al investigador de seguridad Johan Carlsson (también conocido como joaxcar) se le atribuye el mérito de descubrir e informar la falla. GitLab abordó CVE-2023-3932 a principios de agosto de 2023.

La vulnerabilidad se solucionó en las versiones 16.3.4 y 16.2.7 de GitLab.

La divulgación se produce cuando un error crítico de GitLab de dos años (CVE-2021-22205, puntuación CVSS: 10.0) continúa siendo explotado activamente por actores de amenazas en ataques del mundo real.

A principios de esta semana, Trend Micro reveló que un adversario vinculado a China conocido como Earth Lusca está apuntando agresivamente a servidores públicos al utilizar como arma fallas de seguridad del día N, incluido CVE-2021-22205, para infiltrarse en las redes de las víctimas.

Se recomienda encarecidamente que los usuarios actualicen sus instalaciones de GitLab a la última versión lo antes posible para protegerse contra riesgos potenciales.