Tecnología

Nueva vulnerabilidad crítica de GitLab podría permitir la ejecución arbitraria de canalizaciones de CI/CD

teknomers 13 de Ekim de 2024 (Last updated: 13 de Ekim de 2024) 2 minutes read

11 de octubre de 2024Ravie LakshmananDevOps/Vulnerabilidad

GitLab ha lanzado actualizaciones de seguridad para Community Edition (CE) y Enterprise Edition (EE) para abordar ocho fallas de seguridad, incluido un error crítico que podría permitir ejecutar canalizaciones de integración continua y entrega continua (CI/CD) en ramas arbitrarias.

Registrada como CVE-2024-9164, la vulnerabilidad tiene una puntuación CVSS de 9,6 sobre 10.

“Se descubrió un problema en GitLab EE que afecta a todas las versiones desde 12.5 anteriores a 17.2.9, desde 17.3, anteriores a 17.3.5 y desde 17.4 anteriores a 17.4.2, lo que permite ejecutar canalizaciones en ramas arbitrarias”, GitLab dicho en un aviso.

De los siete problemas restantes, cuatro tienen una calificación alta, dos tienen una calificación media y uno tiene una calificación de gravedad baja.

CVE-2024-8970 (Puntuación CVSS: 8,2), que permite a un atacante activar una canalización como otro usuario en determinadas circunstancias.
CVE-2024-8977 (Puntuación CVSS: 8.2), que permite ataques SSRF en instancias de GitLab EE con Product Analytics Dashboard configurado y habilitado
CVE-2024-9631 (Puntuación CVSS: 7,5), lo que provoca lentitud al visualizar diferencias de solicitudes de fusión con conflictos
CVE-2024-6530 (Puntuación CVSS: 7,3), lo que da como resultado la inyección de HTML en la página OAuth al autorizar una nueva aplicación debido a un problema de secuencias de comandos entre sitios

El aviso es la última aparición de lo que parece ser un flujo constante de vulnerabilidades relacionadas con tuberías que GitLab ha revelado en los últimos meses.

El mes pasado, la empresa abordó otra falla crítica (CVE-2024-6678, puntuación CVSS: 9,9) que podría permitir a un atacante ejecutar trabajos de canalización como un usuario arbitrario.

Antes de eso, también solucionó otras tres deficiencias similares: CVE-2023-5009 (puntuación CVSS: 9,6), CVE-2024-5655 (puntuación CVSS: 9,6) y CVE-2024-6385 (puntuación CVSS: 9,6).

Si bien no hay evidencia de explotación activa de la vulnerabilidad, se recomienda a los usuarios que actualicen sus instancias a la última versión para protegerse contra posibles amenazas.

¿Encontró interesante este artículo? Síguenos en Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

ttn-es-57

teknomers

Administrator

Visit Website View All Posts

Related Stories

Lenovo alerta sobre la memoria RAM: los precios nunca volverán al nivel del año pasado

Apple estaría preparando un iRing, una anillo conectado para desafiar a Samsung y Oura.

280€ de descuento en el iPhone Air en Boulanger: lo que debes saber antes de comprar

You May Have Missed

Significado del proverbio africano: Lecciones de vida: Proverbio africano del día: “El corazón paciente puede cocinar una piedra, mientras que la mano inquieta deja incluso…” – ¿qué nos puede enseñar esta poderosa sabiduría sobre la resiliencia, la sanación y la paz mental duradera?

Cómo ver la Copa Mundial 2026: Transmisión en vivo de la Copa Mundial 2026: ¿Cuándo y dónde ver el partido de Cristiano Ronaldo, Lionel Messi, Portugal y Argentina?

Mercado PSG: Renato Marin hacia un préstamo en Portugal

Campeonato de Naciones 2026: Sin más lesiones para Irlanda antes del Test contra Australia en Sídney

About the Author

Related Stories

You May Have Missed