Vulnerabilidad crítica en GitLab | DKCERT
Se ha encontrado una vulnerabilidad crítica en las ediciones GitLab Community y Enterprise que permite a un actor malintencionado ejecutar trabajos de canalización como usuarios distintos de ellos mismos (o del sistema). Esto es lo que se entiende por «usuario arbitrario».
La vulnerabilidad tiene el ID CVE-2024-5655 y una puntuación CVSS de 9,6. Afecta a todas las versiones de GitLab CE/EE desde 15.8 a 16.11.6, 17.0 a 17.0.4 y 17.1 a 17.1.2.
La vulnerabilidad se puede utilizar para ataques a la «cadena de suministro». Esto se debe a que, históricamente, GitLab puede contener acceso a información específica de la empresa, aquí bajo claves API o código propietario. Esto significa que al acceder a GitLab, los actores malintencionados pueden inyectar código en entornos CI/CD (Integración continua/Implementación continua). En última instancia, esto puede significar que los «repositorios» de las empresas estén comprometidos.
Aún no hay informes de explotación activa de la vulnerabilidad.
Se recomienda que todas las instalaciones que ejecuten una versión afectada por versiones anteriores se actualicen a la última versión lo antes posible.
GitLab.com y GitLab Dedicated ya están ejecutando la versión parcheada.