GitLab es una plataforma de desarrollo de software utilizada para la gestión del ciclo de vida de aplicaciones, facilitando la colaboración en proyectos de código. Recientemente, se ha descubierto una vulnerabilidad en uno de sus componentes, lo que podría comprometer la seguridad de los usuarios. Esta vulnerabilidad permite ataques de tipo Cross-Site Scripting (XSS) al cargar archivos Jupyter notebook (.ipynb) en el IDE web de GitLab.
- CVE-2024-10383 (CVSS 8.7): Se descubrió una vulnerabilidad en el componente gitlab-web-ide-vscode-fork de GitLab, este componente no es algo que se instala directamente como usuario, sino que viene integrado en las versiones anteriores a 1.89.1-1.0.0-dev-20241118094343. Esta falla afecta todas las versiones de GitLab CE/EE. La explotación de esta vulnerabilidad permite a un atacante ejecutar código malicioso en el contexto del usuario que carga un archivo. ipynb en el Web IDE.
Productos y versiones afectadas:
- Todas las versiones de GitLab CE/EE desde 15.11 hasta 17.3 e incluso temporalmente a las versiones 17.4, 17.5 y 17.6.
Solución:
- Teniendo en cuenta que las versiones de GitLab CE/EE 17.3, 17.4, 17.5, 17.6 aún son vulnerables, se recomienda actualizar a una versión posterior de GitLab para mitigar esta vulnerabilidad por ejemplo a la versión 17.8.
Recomendaciones
- Mantener actualizado el software a la versión más reciente disponible.
- Evaluar y aplicar controles de seguridad adicionales para la carga de archivos en el Web IDE.
- Capacitar a los usuarios sobre los riesgos de XSS y fomentar el uso de prácticas seguras al interactuar con archivos externos.
Referencias:
- https://nvd.nist.gov/vuln/detail/CVE-2024-10383