GitLab una vez más lanzó correcciones para abordar una falla de seguridad crítica en su Community Edition (CE) y Enterprise Edition (EE) que podría explotarse para escribir archivos arbitrarios mientras se crea un espacio de trabajo.
Seguimiento como CVE-2024-0402la vulnerabilidad tiene una puntuación CVSS de 9,9 sobre un máximo de 10.
«Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde 16.0 anterior a 16.5.8, 16.6 anterior a 16.6.6, 16.7 anterior a 16.7.4 y 16.8 anterior a 16.8.1 que permite a un usuario autenticado escribir archivos a ubicaciones arbitrarias en el servidor GitLab mientras se crea un espacio de trabajo», GitLab dicho en un aviso publicado el 25 de enero de 2024.
La compañía también señaló que los parches para el error se han actualizado a 16.5.8, 16.6.6, 16.7.4 y 16.8.1.
GitLab también resolvió cuatro fallas de gravedad media que podrían conducir a una denegación de servicio de expresión regular (ReDoS), inyección de HTML y la divulgación de la dirección de correo electrónico pública de un usuario a través de las etiquetas RSS.
La última actualización llega dos semanas después de que la plataforma DevSecOps enviara correcciones para solucionar dos deficiencias críticas, incluida una que podría explotarse para hacerse cargo de las cuentas sin requerir ninguna interacción del usuario (CVE-2023-7028, puntuación CVSS: 10.0).
Se recomienda a los usuarios que actualicen las instalaciones a una versión parcheada lo antes posible para mitigar los riesgos potenciales. Los entornos GitLab.com y GitLab Dedicated ya están ejecutando la última versión.