Skip to main content

Error fatal en GitLab | DKCERT

junio 1, 2024


GitLab ha solucionado una vulnerabilidad crítica que permite a atacantes no autorizados apoderarse de cuentas de usuarios en un ataque de secuencias de comandos entre sitios (XSS).

La vulnerabilidad, identificada como CVE-2024-4835, es una vulnerabilidad XSS en el editor de código VS (Web IDE) que permite a los actores de amenazas robar información limitada utilizando páginas diseñadas con fines malintencionados.

Eso es lo que escribe Bleeping Computer.

Se requiere la interacción del usuario para explotar el error.

GitLab recomienda encarecidamente que todas las instalaciones de GitLab Community Edition (CE) y Enterprise Edition (EE) se actualicen «inmediatamente» a 17.0.1, 16.11.3 o 16.10.6.

Además de la vulnerabilidad mencionada, GitLab también ha solucionado otros seis fallos de seguridad en la clase media, es decir. en el rango entre 4 y 6,9 en la escala CVSS. Corregir errores de este calibre puede correr el riesgo de perder prioridad porque son más difíciles de explotar y, por lo tanto, no se espera que sean objeto de atención entre los ciberdelincuentes. Sin embargo, las correcciones son importantes porque si se permite que las vulnerabilidades no se parcheen, los ciberactores podrán operar sin obstáculos.

Según CISA, hay actividades en curso contra GitLab, donde los actores de amenazas están actualmente activamente explota otra vulnerabilidad que, de otro modo, fue parcheada por GitLab en enero. Esto se identifica como CVE-2023-7028 y permite a atacantes no autorizados hacerse cargo de las cuentas de GitLab mediante el restablecimiento de contraseña. El 1 de mayo, se agregó CVE-2023-7028 al catálogo de vulnerabilidades explotadas conocidas de CISA con fecha límite el 22 de mayo. Según Bleeping Computer, todavía existen más de 2000 instancias vulnerables, a pesar de que la vulnerabilidad se corrigió en enero.

Enlaces:

https://www.bleepingcomputer.com/news/security/high-severity-gitlab-flaw-lets-attackers-take-over-accounts/



Source link

Translate »