GitLab, la plataforma DevOps ampliamente utilizada para colaboración en código y gestión de proyectos, ha publicado actualizaciones de seguridad para abordar múltiples vulnerabilidades en GitLab Community Edition (CE) y Enterprise Edition (EE). Estas vulnerabilidades podrían permitir a los atacantes secuestrar sesiones de usuario, robar datos sensibles u obtener mayor control dentro de un sistema objetivo.
A continuación, se describen las siguientes vulnerabilidades cubiertas por las actualizaciones de seguridad:
- CVE-2024-3092 (CVSS 8.7): Esta vulnerabilidad de Cross-Site Scripting (XSS) esta presente en «diff viewer» y permite a los atacantes desplegar un payload que podría comprometer la integridad del usuario.
- CVE-2024-2279 (CVSS 8.7): Esta vulnerabilidad de Stored Cross-Site Scripting (XSS), permite a los atacantes secuestrar sesiones de usuario y ejecutar acciones arbitrarias, mediante el uso de la función de autocompletar que referencian problemas.
- CVE-2023-6489 y CVE-2023-6678 (CVSS 4.3): Estas vulnerabilidades están catalogadas como Denegación de Servicios (DoS) y podrían permitir a los atacantes aumentar drásticamente el uso de recursos de la instancia de GitLab, lo que lleva a la degradación del servicio, a través de la función de integración de chat y al análisis de informes de pruebas junit,
Productos y versiones afectadas:
- CVE-2024-3092: GitLab CE/EE versiones desde la 16.9 anteriores a la 16.9.4 y versiones desde la 16.10 anteriores a la 16.10.2.
- CVE-2024-2279: GitLab CE/EE versiones desde la 16.7 anteriores a la 16.8.6, versiones desde la 16.9 anteriores a la 16.9.4 y versiones desde la 16.10 anteriores a la 16.10.2.
- CVE-2023-6489: GitLab CE/EE versiones desde la 16.7.7 anteriores a la 16.8.6, versiones desde la 16.9 anteriores a la 16.9.4 y versiones desde la 16.10 anteriores a la 16.10.2.
- CVE-2023-6678: GitLab EE versiones anteriores a la 16.8.6, versiones desde la 16.9 anteriores a la 16.9.4 y versiones desde la 16.10 anteriores a la 16.10.2.
Se insta a los usuarios a actualizar sus instalaciones de GitLab a las versiones más recientes, ya que GitLab.com ya está ejecutando la versión parcheada.
Solución:
Actualizar a las versiones 16.10.2, 16.9.4 o 16.8.6 para mitigar el riesgo de explotación de estas vulnerabilidades.
Recomendaciones:
- Realizar la actualización a las versiones más recientes de GitLab tan pronto como sea posible para proteger los sistemas de los riesgos potenciales.
- Permanecer atento a futuras actualizaciones de seguridad y aplicarlas de manera proactiva para mantener la integridad y seguridad de los sistemas GitLab.
- Revisar y ajustar la configuración de seguridad de GitLab para mitigar los riesgos de XSS y DoS.
Referencias: