GitLab, una plataforma líder para herramientas del ciclo de vida DevOps, ha anunciado el lanzamiento de actualizaciones críticas para sus ediciones Community (CE) y Enterprise (EE), las cuales corrigen 14 vulnerabilidades, entre las que destacan una de severidad CRÍTICA y tres de severidad ALTA.
Detalles de las vulnerabilidades más relevantes:
CVE-2024-5655 (CVSS 9.6): Esta falla permite a los atacantes activar pipelines como otro usuario bajo condiciones específicas. El parche modifica el flujo de trabajo de redireccionamiento de Merge Request (MR), se requiere que los usuarios inicien manualmente los pipelines cuando se fusiona una rama de destino. Además, la autenticación GraphQL utilizando CI_JOB_TOKEN está ahora deshabilitada por defecto, requiriendo métodos de autenticación alternativos.
CVE-2024-4901 (CVSS 8.7): Vulnerabilidad de Stored Cross-Site Scripting. Esta falla puede ser explotada a través de notas de commit maliciosas en proyectos importados. La explotación exitosa de esta vulnerabilidad puede permitir a un atacante remoto robar información confidencial, cambiar la apariencia de la página web, realizar ataques de phishing y de descarga automática.
CVE-2024-4994 (CVSS 8.1): Vulnerabilidad de Cross-Site Request Forgery (CSRF). La vulnerabilidad existe debido a una validación insuficiente del origen de la solicitud HTTP en la API GraphQL «IntrospectionQuery». Un atacante remoto puede engañar a la víctima para que visite una página web especialmente diseñada y realice acciones arbitrarias en nombre de la víctima en el sitio web vulnerable.
CVE-2024-6323 (CVSS 7.5): La vulnerabilidad existe debido a una autorización incorrecta en la búsqueda global. Un atacante remoto puede filtrar el contenido de un repositorio privado en un proyecto público.
Vulnerabilidades adicionales abordadas:
CVE-2024-2177 (CVSS 6.8): La vulnerabilidad existe debido a una validación insuficiente del origen de la solicitud HTTP en el flujo OAuth de la aplicación del usuario. Un atacante remoto puede engañar a la víctima para que visite una página web especialmente diseñada y realice acciones arbitrarias en nombre de la víctima en el sitio web vulnerable.
CVE-2024-5430 (CVSS 6.8): La vulnerabilidad existe debido a restricciones de acceso inadecuadas. Un administrador remoto puede eludir las restricciones de seguridad implementadas y eliminar la política de aprobación de solicitudes de “merge” a través de GraphQL.
CVE-2024-4025 (CVSS 6.5): La vulnerabilidad existe debido a una validación de entrada insuficiente al procesar expresiones regulares dentro de la página de Markdown creada a medida. Un usuario remoto puede pasar datos especialmente diseñados a la aplicación y realizar un ataque de denegación de servicio mediante expresiones regulares (ReDos).
CVE-2024-3959 (CVSS 6.5): La vulnerabilidad existe debido a la salida excesiva de datos por parte de la aplicación. Un usuario remoto puede obtener acceso no autorizado a artefactos de trabajo privados.
CVE-2024-4557 (CVSS 6.5): La vulnerabilidad existe debido a que la aplicación no controla adecuadamente el consumo de recursos internos dentro de Banzai pipeline. Un usuario remoto puede provocar el agotamiento de los recursos y realizar un ataque de denegación de servicio (DoS).
CVE-2024-1493 (CVSS 6.5): La vulnerabilidad existe debido a una validación de entrada insuficiente al procesar expresiones regulares en el enlazador de dependencias. Un usuario remoto puede pasar datos especialmente diseñados a la aplicación y realizar un ataque de denegación de servicio mediante expresiones regulares (ReDos).
CVE-2024-1816 (CVSS 5.3): La vulnerabilidad existe debido a una validación insuficiente de la información proporcionada por el usuario. Un usuario remoto puede enviar un archivo OpenAPI especialmente diseñado y realizar un ataque de denegación de servicio (DoS).
CVE-2024-2191 (CVSS 5.3): La vulnerabilidad existe debido a la excesiva salida de datos por parte de la aplicación. Un atacante remoto puede obtener acceso no autorizado al título Merge Request.
CVE-2024-3115 (CVSS 4.3): La vulnerabilidad existe debido a restricciones de acceso inadecuadas. Un usuario remoto puede acceder a issues y epics sin tener una sesión SSO mediante Duo Chat.
CVE-2024-4011 (CVSS 3.1): La vulnerabilidad existe debido a restricciones de acceso inadecuadas. Un usuario remoto ajeno al proyecto puede promover resultados clave a los objetivos.
Productos y versiones afectadas
| Productos | Versiones afectadas | Versiones corregidas |
| GitLab CE/EE | 15.8 anterior a la 16.11.5 17.0 anterior a la 17.0.3 17.1 anterior a la 17.1.1 | 16.11.5 17.0.3 17.1.1 |
Recomendaciones:
- Actualizar lo antes posible a las versiones más recientes de GitLab para mitigar los riesgos potenciales.
- Revisar y aplicar las mejores prácticas de seguridad para la configuración y uso de GitLab.
Referencias: