Los investigadores han revelado detalles de una vulnerabilidad de seguridad ahora parcheada en GitLab, un software DevOps de c\u00f3digo abierto, que podr\u00eda permitir que un atacante remoto no autenticado recupere informaci\u00f3n relacionada con el usuario.<\/p>\n
Registrada como CVE-2021-4191 (puntaje CVSS: 5.3), la falla de gravedad media afecta a todas las versiones de GitLab Community Edition y Enterprise Edition a partir de la 13.0 y a todas las versiones a partir de la 14.4 y anteriores a la 14.8.<\/p>\n
![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Alertas-de-CISA-sobre-fallas-explotadas-activamente-en-la-plataforma.png\")
<\/a><\/div>\nJake Baines, investigador s\u00e9nior de seguridad de Rapid7, tiene el cr\u00e9dito de descubrir y reportar la falla. Tras la divulgaci\u00f3n responsable el 18 de noviembre de 2021, los parches fueron publicado<\/a> como parte de las versiones de seguridad cr\u00edtica de GitLab 14.8.2, 14.7.4 y 14.6.5 enviadas el 25 de febrero de 2022.<\/p>\n “La vulnerabilidad es el resultado de una verificaci\u00f3n de autenticaci\u00f3n faltante al ejecutar ciertas consultas de la API de GitLab GraphQL”, Baines dijo<\/a> en un informe publicado el jueves. “Un atacante remoto no autenticado puede usar esta vulnerabilidad para recopilar nombres de usuario, nombres y direcciones de correo electr\u00f3nico registrados en GitLab”.<\/p>\n La explotaci\u00f3n exitosa de la fuga de informaci\u00f3n de la API podr\u00eda permitir a los actores maliciosos enumerar y compilar listas de nombres de usuario leg\u00edtimos pertenecientes a un objetivo que luego pueden utilizarse como trampol\u00edn para realizar ataques de fuerza bruta, incluidos adivinar contrase\u00f1a<\/a>, pulverizaci\u00f3n de contrase\u00f1a<\/a>y relleno de credenciales<\/a>.<\/p>\n “La fuga de informaci\u00f3n tambi\u00e9n permite potencialmente que un atacante cree una nueva lista de palabras de nombre de usuario basada en las instalaciones de GitLab, no solo desde gitlab.com sino tambi\u00e9n desde las otras 50,000 instancias de GitLab a las que se puede acceder desde Internet”, dijo Baines.<\/p>\n Adem\u00e1s de CVE-2021-4191, el parche tambi\u00e9n aborda otras seis fallas de seguridad, una de las cuales es un problema cr\u00edtico (CVE-2022-0735, puntaje CVSS: 9.6) que permite a un atacante no autorizado desviar el fichas de registro de corredor<\/a> se utiliza para autenticar y autorizar trabajos de CI\/CD alojados en instancias de GitLab.<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1646391674_394_Nueva-vulnerabilidad-de-seguridad-afecta-a-miles-de-instancias-de.jpeg\")
<\/div>\n![\"Evitar](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1646327406_168_Parches-criticos-emitidos-para-los-productos-Cisco-Expressway-Series-TelePresence.jpeg\")
<\/a><\/div>\n