GitLab abordó múltiples vulnerabilidades que afectaban a GitLab CE/EE

Iniciado por AXCESS, Septiembre 14, 2024, 06:11:22 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

GitLab lanzó parches de seguridad para 17 vulnerabilidades en GitLab CE (Community Edition) y EE (Enterprise Edition).

Una de estas vulnerabilidades es una falla crítica de ejecución de pipeline, identificada como CVE-2024-6678 (puntuación CVSS de 9,9 ), que podría permitir a un atacante activar un pipeline como un usuario arbitrario en determinadas circunstancias.

"Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 8.14 anterior a la 17.1.7, a partir de la 17.2 anterior a la 17.2.5 y a partir de la 17.3 anterior a la 17.3.2, que permite a un atacante activar un pipeline como un usuario arbitrario en determinadas circunstancias", se lee en el aviso de la empresa. "Ahora está mitigado en la última versión y se le asigna CVE-2024-6678.

yvvdwf informó del problema a la empresa a través del programa de recompensas por errores de la empresa operado por HackerOne.

GitLab también solucionó un problema de alta gravedad, identificado como CVE-2024-8640 (puntuación CVSS de 8,5 ), en GitLab EE. Un atacante puede explotar la falla para inyectar comandos en un servidor Cube conectado.

"Se ha descubierto un problema en GitLab EE que afecta a todas las versiones a partir de la 16.11 anterior a la 17.1.7, de la 17.2 anterior a la 17.2.5 y de la 17.3 anterior a la 17.3.2. Debido a un filtrado de entrada incompleto, fue posible inyectar comandos en un servidor Cube conectado", se lee en el aviso.

joaxcar informó de esta vulnerabilidad a través de nuestro programa de recompensas por errores de HackerOne.

La compañía también solucionó varias vulnerabilidades de gravedad media y baja que podrían provocar elusiones de protección, escalada de privilegios, acceso de lectura no autorizado al código fuente de proyectos privados, recuperación de tokens de GitLab, apropiación de cuentas y filtraciones de información.

Fuente:
SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta