{"id":961122,"date":"2023-09-20T09:06:39","date_gmt":"2023-09-20T09:06:39","guid":{"rendered":"https:\/\/teknomers.com\/es\/gitlab-lanza-parches-de-seguridad-urgentes-para-vulnerabilidades-criticas\/"},"modified":"2023-09-20T09:06:45","modified_gmt":"2023-09-20T09:06:45","slug":"gitlab-lanza-parches-de-seguridad-urgentes-para-vulnerabilidades-criticas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/gitlab-lanza-parches-de-seguridad-urgentes-para-vulnerabilidades-criticas\/","title":{"rendered":"GitLab lanza parches de seguridad urgentes para vulnerabilidades cr\u00edticas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>20 de septiembre de 2023<\/span>\ue804<\/i>THN<\/span><\/span>Vulnerabilidad\/Seguridad del software<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

GitLab ha enviado parches de seguridad para resolver una falla cr\u00edtica que permite a un atacante ejecutar canalizaciones como otro usuario.<\/p>\n

El problema, rastreado como CVE-2023-5009<\/strong><\/a> (Puntuaci\u00f3n CVSS: 9.6), afecta a todas las versiones de GitLab Enterprise Edition (EE) a partir de 13.12 y anteriores a 16.2.7, as\u00ed como a partir de 16.3 y anteriores a 16.3.4.<\/p>\n

“Era posible que un atacante ejecutar tuber\u00edas<\/a> como un usuario arbitrario a trav\u00e9s de pol\u00edticas de an\u00e1lisis de seguridad programadas”, GitLab dicho<\/a> en un aviso. “Esto fue un desv\u00edo de CVE-2023-3932<\/a> mostrando un impacto adicional”.<\/p>\n

La explotaci\u00f3n exitosa de CVE-2023-5009 podr\u00eda permitir que un actor de amenazas acceda a informaci\u00f3n confidencial o aproveche los permisos elevados del usuario suplantado para modificar el c\u00f3digo fuente o ejecutar c\u00f3digo arbitrario en el sistema, lo que tendr\u00eda graves consecuencias.<\/p>\n

Al investigador de seguridad Johan Carlsson (tambi\u00e9n conocido como joaxcar) se le atribuye el m\u00e9rito de descubrir e informar la falla. GitLab abord\u00f3 CVE-2023-3932 a principios de agosto de 2023.<\/p>\n

La vulnerabilidad se solucion\u00f3 en las versiones 16.3.4 y 16.2.7 de GitLab.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Seguridad Level-Up SaaS: una gu\u00eda completa para ITDR y SSPM<\/p>\n

<\/a><\/p>\n

Mant\u00e9ngase a la vanguardia con conocimientos pr\u00e1cticos sobre c\u00f3mo ITDR identifica y mitiga las amenazas. Conozca el papel indispensable de SSPM para garantizar que su identidad siga siendo inviolable.<\/p>\n

Potencia tus habilidades<\/a><\/section>\n

La divulgaci\u00f3n se produce cuando un error cr\u00edtico de GitLab de dos a\u00f1os (CVE-2021-22205, puntuaci\u00f3n CVSS: 10.0) contin\u00faa siendo explotado activamente por actores de amenazas en ataques del mundo real.<\/p>\n

A principios de esta semana, Trend Micro revel\u00f3 que un adversario vinculado a China conocido como Earth Lusca est\u00e1 apuntando agresivamente a servidores p\u00fablicos al utilizar como arma fallas de seguridad del d\u00eda N, incluido CVE-2021-22205, para infiltrarse en las redes de las v\u00edctimas.<\/p>\n

Se recomienda encarecidamente que los usuarios actualicen sus instalaciones de GitLab a la \u00faltima versi\u00f3n lo antes posible para protegerse contra riesgos potenciales.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n