Vulnerabilidades en la edición comunitaria de GitLab y en la edición Enterprise | DKCERT
El miércoles, GitLab lanzó parches de seguridad para GitLab Community Edition (CE) y Enterprise Edition (EE) que corrigen un total de 14 vulnerabilidades, de las cuales una es crítica y tres son graves.
Eso es lo que escriben Security Week y Bleeping Computer.
El más crítico tiene el ID CVE-2024-5655 y una puntuación CVSS de 9,6. La vulnerabilidad afecta a las versiones de GitLab CE/EE posteriores a 15.8, 17.0 y 17.1 y permite a un atacante activar una canalización como otro usuario bajo ciertas circunstancias. Se trata de un fallo del control de acceso, que implica el uso de varios mecanismos de protección como la autenticación (prueba de la identidad de un actor), la autorización (que garantiza que un determinado actor pueda acceder a un recurso) y la rendición de cuentas (es decir, el seguimiento de las actividades que han tenido lugar). sido realizado)
El error significa que se impide que el mecanismo aplique correctamente los requisitos de control de acceso especificados (por ejemplo, permitir al usuario especificar privilegios o permitir una ACL sintácticamente incorrecta).
Los productos afectados son todas las versiones desde 15.8 anteriores a 16.11.5, versiones desde 17.0 anteriores a 17.0.3 y versiones desde 17.1 anteriores a 17.1.1.
Aún no hay informes de explotación activa.
Se recomienda actualizar según las instrucciones de GitLab (ver referencias).
Enlaces:
https://www.securityweek.com/gitlab-security-updates-patch-14-vulnerabilities/
https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/