GitLab, una plataforma de desarrollo colaborativo que ofrece herramientas integradas para la gestión de proyectos, control de versiones y despliegue de aplicaciones, ha emitido una alerta de seguridad para abordar dos vulnerabilidades significativas que afectan a múltiples versiones de su software. A continuación, se detallan las vulnerabilidades reportadas:
- CVE-2024-8312 (CVSS 8.7): Vulnerabilidad de severidad alta que permite a los atacantes inyectar código HTML malicioso en el campo de búsqueda global en una vista de diferencias (diff view), lo que da lugar a ataques de Cross-Site Scripting (XSS), esto facilita que los atacantes roben información de usuarios, secuestren sesiones o redirijan a los usuarios hacia sitios web peligrosos.
- CVE-2024-6826 (CVSS 6.5): Vulnerabilidad que podría causar una denegación de servicio a través de la importación de un archivo de manifiesto XML malicioso. Esta falla podría permitir a los atacantes sobrecargar el servidor e interrumpir el servicio.
Productos, versiones afectadas y corregidas:
| CVE | Productos afectados | Versiones afectadas | Solución |
| CVE-2024-8312 | Community Edition Enterprise Edition | Versiones desde la 15.10 hasta la 17.3.6, la 17.4 hasta la 17.4.3 y la 17.5 hasta la 17.5.1. | Actualizar a las versiones 17.5.1, 17.4.3 y 17.3.6 |
| CVE-2024-6826 |
Recomendaciones:
- Actualizar a la última versión de GitLab disponible para protegerse contra las vulnerabilidades.
- Realizar una revisión regular de las configuraciones de seguridad para identificar posibles vulnerabilidades.
- Implementar políticas de seguridad que incluyan la capacitación de los usuarios sobre los riesgos de seguridad asociados con XSS y DoS.
Referencias: