{"id":1255942,"date":"2024-06-28T15:57:07","date_gmt":"2024-06-28T15:57:07","guid":{"rendered":"https:\/\/teknomers.com\/es\/gitlab-lanza-parche-para-vulnerabilidad-critica-de-canalizacion-de-ci-cd-y-otras-13\/"},"modified":"2024-06-28T15:57:13","modified_gmt":"2024-06-28T15:57:13","slug":"gitlab-lanza-parche-para-vulnerabilidad-critica-de-canalizacion-de-ci-cd-y-otras-13","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/gitlab-lanza-parche-para-vulnerabilidad-critica-de-canalizacion-de-ci-cd-y-otras-13\/","title":{"rendered":"GitLab lanza parche para vulnerabilidad cr\u00edtica de canalizaci\u00f3n de CI\/CD y otras 13"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">28 de junio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Seguridad de software\/DevOps<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/GitLab-lanza-parche-para-vulnerabilidad-critica-de-canalizacion-de-CICD.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>GitLab ha lanzado <a rel=\"nofollow noopener\" href=\"https:\/\/about.gitlab.com\/releases\/2024\/06\/26\/patch-release-gitlab-17-1-1-released\/\" target=\"_blank\">actualizaciones de seguridad<\/a> para abordar 14 fallas de seguridad, incluida una vulnerabilidad cr\u00edtica que podr\u00eda explotarse para ejecutar canales de integraci\u00f3n e implementaci\u00f3n continuas (CI\/CD) como cualquier usuario.<\/p>\n<p>Las debilidades, que afectan a GitLab Community Edition (CE) y Enterprise Edition (EE), se solucionaron en las versiones 17.1.1, 17.0.3 y 16.11.5.<\/p>\n<p>La m\u00e1s grave de las vulnerabilidades es <strong>CVE-2024-5655<\/strong> (Puntuaci\u00f3n CVSS: 9,6), lo que podr\u00eda permitir que un actor malintencionado active una canalizaci\u00f3n como otro usuario en determinadas circunstancias.<\/p>\n<p>Afecta a las siguientes versiones de CE y EE:<\/p>\n<ul>\n<li>17.1 anterior a 17.1.1<\/li>\n<li>17.0 anterior a 17.0.3, y<\/li>\n<li>15.8 antes del 16.11.5<\/li>\n<\/ul>\n<p>GitLab dijo que la soluci\u00f3n introduce dos cambios importantes como resultado de los cuales la autenticaci\u00f3n GraphQL usando CI_JOB_TOKEN est\u00e1 deshabilitada de forma predeterminada y las canalizaciones ya no se ejecutar\u00e1n autom\u00e1ticamente cuando se redireccione una solicitud de fusi\u00f3n despu\u00e9s de fusionar su rama de destino anterior.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/auditboard-it-risk-now\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718513814_760_Hacker-britanico-vinculado-al-notorio-grupo-de-aranas-dispersas-arrestado.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>A continuaci\u00f3n se enumeran algunos de los otros fallos importantes corregidos como parte de la \u00faltima versi\u00f3n:<\/p>\n<ul>\n<li><strong>CVE-2024-4901<\/strong> (Puntuaci\u00f3n CVSS: 8,7): una vulnerabilidad XSS almacenada podr\u00eda importarse desde un proyecto con notas de confirmaci\u00f3n maliciosas<\/li>\n<\/ul>\n<ul>\n<li><strong>CVE-2024-4994<\/strong> (Puntuaci\u00f3n CVSS: 8.1): un ataque CSRF a la API GraphQL de GitLab que conduce a la ejecuci\u00f3n de mutaciones arbitrarias de GraphQL.<\/li>\n<\/ul>\n<ul>\n<li><strong>CVE-2024-6323<\/strong> (Puntuaci\u00f3n CVSS: 7,5): una falla de autorizaci\u00f3n en la funci\u00f3n de b\u00fasqueda global que permite la filtraci\u00f3n de informaci\u00f3n confidencial desde un repositorio privado dentro de un proyecto p\u00fablico.<\/li>\n<\/ul>\n<ul>\n<li><strong>CVE-2024-2177<\/strong> (Puntuaci\u00f3n CVSS: 6,8): una vulnerabilidad de falsificaci\u00f3n de ventanas cruzadas que permite a un atacante abusar del flujo de autenticaci\u00f3n OAuth a trav\u00e9s de una carga \u00fatil dise\u00f1ada<\/li>\n<\/ul>\n<p>Si bien no hay evidencia de explotaci\u00f3n activa de las fallas, se recomienda a los usuarios que apliquen los parches para mitigar posibles amenazas.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/gitlab-releases-patch-for-critical-cicd.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80228 de junio de 2024\ue804Sala de redacci\u00f3nSeguridad de software\/DevOps GitLab ha lanzado actualizaciones de seguridad para abordar 14<\/p>\n","protected":false},"author":1,"featured_media":1255943,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,239669,215735,4664,2458,4662,16854,4668,543,201033,239182,4654,239508,4658,4659,4653,2864,18,19938,4666,4665,4014,4660],"class_list":["post-1255942","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-canalizacion","tag-cicd","tag-como-hackear","tag-critica","tag-filtracion-de-datos","tag-gitlab","tag-la-seguridad-informatica","tag-lanza","tag-las-noticias-de-los-piratas-informaticos","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-otras","tag-para","tag-parche","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1255942","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1255942"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1255942\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1255943"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1255942"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1255942"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1255942"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}