[ad_1]

GitLab advirtió hoy que una
vulnerabilidad crítica en las ediciones GitLab Community y Enterprise
de su producto permite a los atacantes ejecutar trabajos de canalización como
cualquier otro usuario.
Las canalizaciones de GitLab son una característica del sistema de integración
continua/implementación continua (CI/CD) que permite a los usuarios ejecutar
automáticamente procesos y tareas en paralelo o secuencialmente para crear,
probar o implementar cambios de código.
La plataforma GitLab DevSecOps tiene más de 30 millones de usuarios
registrados y es utilizada por más del 50% de las empresas Fortune 100,
incluidas T-Mobile, Goldman Sachs, Airbus, Lockheed Martin, Nvidia y UBS.
La falla corregida en la actualización de seguridad de hoy está identificada
como
CVE-2024-6385
y recibió una calificación de gravedad de puntuación base
CVSS de 9,6 sobre 10. Afecta a todas las versiones de GitLab CE/EE desde
15.8 a 16.11.6, 17.0 a 17.0.4 y 17.1 a 17.1.2.
En determinadas circunstancias que GitLab aún no ha revelado, los atacantes
pueden aprovecharlo para activar una nueva canalización como usuario
arbitrario.
Los atacantes apuntan a GitLab porque aloja varios tipos de datos corporativos
confidenciales, incluidas claves API y código propietario, lo que genera un
impacto significativo en la seguridad después de una infracción.
La compañía lanzó GitLab Community y Enterprise versiones 17.1.2, 17.0.4 y
16.11.6 para abordar esta falla de seguridad crítica y
recomendó a todos los administradores que actualizaran todas las
instalaciones de inmediato.
A finales de junio, GitLab parcheó una vulnerabilidad casi idéntica
(CVE-2024-5655) a finales de junio, que también podría explotarse para ejecutar
canalizaciones como otros usuarios.
Un mes antes, solucionó una vulnerabilidad de gravedad alta (CVE-2024-4835) que permite a actores de amenazas no autenticados hacerse cargo de cuentas
en ataques de secuencias de comandos entre sitios (XSS).
Como advirtió CISA en mayo, los actores de amenazas también están explotando
activamente otra vulnerabilidad de GitLab sin necesidad de clic (CVE-2023-7028) parcheada en enero. Esta vulnerabilidad permite a atacantes no autenticados
secuestrar cuentas mediante restablecimiento de contraseña.
Si bien Shadowserver encontró más de 5.300 instancias vulnerables de GitLab expuestas en línea en enero, menos de la mitad (1.795) todavía están
accesibles en la actualidad.
Fuente:
BC
[ad_2]
Source link
Los comentarios están cerrados.