GitLab lanzó el miércoles actualizaciones de seguridad para abordar 17 vulnerabilidades de seguridad, incluida una falla crítica que permite a un atacante ejecutar trabajos de canalización como un usuario arbitrario.
El problema, identificado como CVE-2024-6678, tiene una puntuación CVSS de 9,9 sobre un máximo de 10,0.
«Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 8.14 anterior a la 17.1.7, desde la 17.2 anterior a la 17.2.5 y desde la 17.3 anterior a la 17.3.2, que permite a un atacante activar una canalización como un usuario arbitrario en determinadas circunstancias», dijo la empresa. dicho en una alerta.
La vulnerabilidad, junto con tres errores de gravedad alta, 11 de gravedad media y dos de gravedad baja, se han solucionado en las versiones 17.3.2, 17.2.5, 17.1.7 para GitLab Community Edition (CE) y Enterprise Edition (EE).
Vale la pena señalar que CVE-2024-6678 es la cuarta falla de este tipo que GitLab ha parcheado durante el año pasado después de CVE-2023-5009 (puntaje CVSS: 9,6), CVE-2024-5655 (puntaje CVSS: 9,6) y CVE-2024-6385 (puntaje CVSS: 9,6).
Si bien no hay evidencia de explotación activa de las fallas, se recomienda a los usuarios aplicar los parches lo antes posible para mitigar posibles amenazas.
A principios de mayo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) reveló que una vulnerabilidad crítica de GitLab (CVE-2023-7028, puntuación CVSS: 10.0) había sido explotada activamente.