News CCN

CCN-CERT AV 19/24 Actualizaciones de seguridad para productos GitLab

Fecha de publicación: 17/10/2024

Nivel de peligrosidad: CRÍTICO

El CCN-CERT, del Centro Criptológico Nacional, avisa de la publicación de 8 actualizaciones de seguridad de productos de GitLab que solucionan múltiples vulnerabilidades, 1 de ella crítica. Las actualizaciones son tanto para GitLab Community Edition (CE) como para Enterprise Edition (EE).

Recursos afectados

  • GitLab Community Edition
    • Versiones: 11.6 - hasta la anterior de 17.2.9
    • Versiones: 17.3 - hasta la anterior de 17.3.5
    • Versiones: 17.4 - hasta la anterior de 17.4.2
  • GitLab Enterprise Edition
    • Versiones: 11.6 - hasta la anterior de 17.2.9
    • Versiones: 17.3 - hasta la anterior de 17.3.5
    • Versiones: 17.4 - hasta la anterior de 17.4.2

Vulnerabilidades solucionadas

Crítica

  • CVE-2024-9164: producida por una falta de autenticación que podría permitir a un atacante la ejecución de código de manera remota.

Altas

  • CVE-2024-8970: autorización incorrecta que podría permitir a un atacante remoto activar pipelines como otro usuario en determinadas circunstancias.
  • CVE-2024-8977: validación insuficiente en la entrada proporcionada por el usuario en el panel de control de Analytics. De esta forma, un atacante remoto podría realizar una solicitud falsificada del lado del servidor (SSRF) y engañar a la aplicación para que inicie peticiones a sistemas arbitrarios.
  • CVE-2024-9631: permitiría a un atacante realizar un ataque de Denegación de Servicio (DoS).
  • CVE-2024-6530: vulnerabilidad de tipo XSS (Cross-Site Scripting) que podría resultar en la ejecución de código arbitrario en el navegador del usuario.

Recomendaciones

Con la publicación de la última actualización de seguridad, GitLab ha corregido las vulnerabilidades descritas. Desde la compañía se recomienda actualizar GitLab Enterprise Edition (EE) y GitLab Community Edition (CE) a la última versión estable disponible lo antes posible y como mínimo a las versiones 17.2.9, 17.3.5 o 17.4.2 según el caso, estando disponibles para su descarga a través de este enlace.

El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Referencias

Atentamente,

Equipo CCN-CERT