{"id":1271823,"date":"2024-07-11T04:59:13","date_gmt":"2024-07-11T04:59:13","guid":{"rendered":"https:\/\/teknomers.com\/es\/gitlab-corrige-un-error-critico-que-permite-trabajos-de-pipeline-no-autorizados\/"},"modified":"2024-07-11T04:59:18","modified_gmt":"2024-07-11T04:59:18","slug":"gitlab-corrige-un-error-critico-que-permite-trabajos-de-pipeline-no-autorizados","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/gitlab-corrige-un-error-critico-que-permite-trabajos-de-pipeline-no-autorizados\/","title":{"rendered":"GitLab corrige un error cr\u00edtico que permite trabajos de pipeline no autorizados"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>11 de julio de 2024<\/span>\ue804<\/i>Sala de prensa<\/span><\/span>Seguridad del software \/ Vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

GitLab ha enviado otra ronda de actualizaciones para corregir fallas de seguridad en su plataforma de desarrollo de software, incluido un error cr\u00edtico que permite a un atacante ejecutar trabajos de canalizaci\u00f3n como un usuario arbitrario.<\/p>\n

Identificada como CVE-2024-6385, la vulnerabilidad tiene una puntuaci\u00f3n CVSS de 9,6 sobre un m\u00e1ximo de 10,0.<\/p>\n

“Se descubri\u00f3 un problema en GitLab CE\/EE que afecta a las versiones 15.8 anteriores a 16.11.6, 17.0 anteriores a 17.0.4 y 17.1 anteriores a 17.1.2, que permite a un atacante activar una canalizaci\u00f3n como otro usuario en determinadas circunstancias”, dijo la empresa. dicho<\/a> en un aviso del mi\u00e9rcoles.<\/p>\n

Vale la pena se\u00f1alar que la compa\u00f1\u00eda corrigi\u00f3 un error similar a fines del mes pasado (CVE-2024-5655, puntaje CVSS: 9.6) que tambi\u00e9n podr\u00eda usarse para ejecutar pipelines como otros usuarios.<\/p>\n

\"La<\/a><\/center><\/div>\n

GitLab tambi\u00e9n abord\u00f3 un problema de gravedad media (CVE-2024-5257, puntuaci\u00f3n CVSS: 4.9) que permite que un usuario desarrollador con permisos admin_compliance_framework modifique la URL de un espacio de nombres de grupo.<\/p>\n

Se han corregido todas las deficiencias de seguridad en las versiones 17.1.2, 17.0.4 y 16.11.6 de GitLab Community Edition (CE) y Enterprise Edition (EE).<\/p>\n

La revelaci\u00f3n se produce cuando Citrix liberado<\/a> actualizaciones para una falla cr\u00edtica e incorrecta de autenticaci\u00f3n que afecta a NetScaler Console (anteriormente NetScaler ADM), NetScaler SDX y NetScaler Agent (CVE-2024-6235, puntuaci\u00f3n CVSS: 9,4) y que podr\u00eda provocar la divulgaci\u00f3n de informaci\u00f3n.<\/p>\n

Broadcom tambi\u00e9n ha publicado parches para dos vulnerabilidades de inyecci\u00f3n de gravedad media en Director de nube de VMware<\/a> (CVE-2024-22277, puntuaci\u00f3n CVSS: 6,4) y Automatizaci\u00f3n de VMware Aria<\/a> (CVE-2024-22280, puntuaci\u00f3n CVSS: 8,5) que podr\u00edan utilizarse para ejecutar c\u00f3digo malicioso mediante etiquetas HTML y consultas SQL especialmente dise\u00f1adas, respectivamente.<\/p>\n

CISA publica boletines para abordar fallas de software<\/h3>\n

Los avances tambi\u00e9n siguen a un nuevo bolet\u00edn publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) y la Oficina Federal de Investigaciones (FBI) que insta a los fabricantes de tecnolog\u00eda a eliminar las fallas de inyecci\u00f3n de comandos del sistema operativo (SO) en el software que permiten a los actores de amenazas ejecutar c\u00f3digo de forma remota en dispositivos de borde de la red.<\/p>\n

Estas fallas surgen cuando la entrada del usuario no se desinfecta y valida adecuadamente al construir comandos que se ejecutar\u00e1n en el sistema operativo subyacente, lo que permite que un adversario introduzca comandos arbitrarios que pueden conducir a la implementaci\u00f3n de malware o al robo de informaci\u00f3n.<\/p>\n

“Las vulnerabilidades de inyecci\u00f3n de comandos del sistema operativo se han podido prevenir desde hace mucho tiempo separando claramente la entrada del usuario del contenido de un comando”, dijeron las agencias. dicho<\/a>. “A pesar de este hallazgo, las vulnerabilidades de inyecci\u00f3n de comandos del sistema operativo, muchas de las cuales resultan de CWE-78<\/a> \u2014 siguen siendo una clase predominante de vulnerabilidad”.<\/p>\n

La alerta es la tercera de este tipo emitida por la CISA y el FBI desde principios de a\u00f1o. Las agencias enviaron anteriormente otras dos alertas sobre la necesidad de eliminar inyecci\u00f3n SQL<\/a> (SQLi) y vulnerabilidades de recorrido de ruta<\/a> en marzo y mayo de 2024.<\/p>\n

\"La<\/a><\/center><\/section>\n

El mes pasado, CISA, junto con agencias de ciberseguridad de Canad\u00e1 y Nueva Zelanda, tambi\u00e9n public\u00f3 una gu\u00eda que recomienda a las empresas adoptar soluciones de seguridad m\u00e1s s\u00f3lidas, como Confianza cero<\/a>Servicio de borde seguro (ESS<\/a>) y el servicio de acceso seguro Edge (SASE<\/a>) \u2014 que proporcionan una mayor visibilidad de la actividad de la red.<\/p>\n

“Al utilizar pol\u00edticas de control de acceso basadas en riesgos para tomar decisiones a trav\u00e9s de motores de decisi\u00f3n de pol\u00edticas, estas soluciones integran seguridad y control de acceso, fortaleciendo la usabilidad y seguridad de una organizaci\u00f3n a trav\u00e9s de pol\u00edticas adaptativas”, dijeron las agencias autoras. anotado<\/a>.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n