[ad_1]

GitLab ha publicado actualizaciones de seguridad
para abordar 14 fallas de seguridad, incluida una vulnerabilidad
crítica que podría explotarse para ejecutar canales de integración e
implementación continuas (CI/CD) como cualquier usuario.
Afecta a las siguientes versiones de CE y EE:
- 17.1 anterior a 17.1.1
- 17.0 anterior a 17.0.3, y
- 15.8 antes del 16.11.5
Las debilidades, que afectan a GitLab Community Edition (CE) y Enterprise
Edition (EE),
se solucionaron en las versiones 17.1.1, 17.0.3 y 16.11.5.
La más grave de las vulnerabilidades es
CVE-2024-5655
(puntuación CVSS: 9,6), que podría permitir a un actor malintencionado activar
una canalización como otro usuario en determinadas circunstancias.
GitLab dijo que la solución introduce dos cambios importantes como resultado
de los cuales la autenticación GraphQL usando CI_JOB_TOKEN está deshabilitada
de forma predeterminada y las canalizaciones ya no se ejecutarán
automáticamente cuando se redireccione una solicitud de fusión después de
fusionar su rama de destino anterior.
Algunas de las otras fallas importantes solucionadas como parte de la última
versión se enumeran a continuación:
-
CVE-2024-4901 (puntuación CVSS: 8,7): una vulnerabilidad XSS almacenada
podría importarse desde un proyecto con notas de confirmación maliciosas -
CVE-2024-4994 (puntuación CVSS: 8,1): un ataque CSRF a la API GraphQL de
GitLab que conduce a la ejecución de mutaciones arbitrarias de GraphQL -
CVE-2024-6323 (puntuación CVSS: 7,5): una falla de autorización en la
función de búsqueda global que permite la filtración de información
confidencial desde un repositorio privado dentro de un proyecto público. -
CVE-2024-2177 (puntuación CVSS: 6,8): una vulnerabilidad de falsificación
que permite a un atacante abusar del flujo de autenticación OAuth mediante
una carga útil especialmente diseñada.
Si bien no hay evidencia de explotación activa de las fallas, se recomienda a
los usuarios que apliquen los parches para mitigar posibles amenazas.
Fuente:
THN
[ad_2]
Source link
Los comentarios están cerrados.