Se ha identificado una vulnerabilidad que afecta a GitLab CE/EE, ampliamente utilizado en entornos de desarrollo y colaboración de código. Esta falla de seguridad podría permitir a atacantes escalar privilegios dentro del sistema.
- CVE-2024-8114 (CVSS 8.2): Esta vulnerabilidad se debe a una autorización insuficiente en GitLab CE/EE. Un atacante con acceso a un token de acceso personal (PAT) comprometido puede aprovechar esta falla para escalar privilegios, obteniendo acceso a recursos críticos. Esto podría incluir la exposición de información sensible o la manipulación de datos dentro del entorno afectado.
Productos y versiones afectadas:
- Versiones de GitLab CE/EE:
- Desde 8.12 hasta antes de la 17.4.5.
- Desde 17.5 hasta antes de la 17.5.3.
- Desde 17.6 hasta antes de la 17.6.1.
Solución:
- Actualizar a las versiones 17.4.5, 17.5.3, 17.6.1 o posterior respectivamente.
Recomendaciones:
- Actualizar inmediatamente GitLab CE/EE a una de las versiones parcheadas mencionadas.
- Limitar el acceso a los tokens de acceso personal (PAT) y revocar cualquier token comprometido.
- Implementar políticas de acceso basado en privilegios mínimos para proteger los recursos críticos.
Referencias: