GitLab emitió actualizaciones de seguridad para solucionar 17 vulnerabilidades, incluyendo un fallo crítico que permite a un atacante ejecutar trabajos de pipeline como un usuario arbitrario. La vulnerabilidad, identificada como CVE-2024-6678, tiene una puntuación CVSS de 9.9 sobre un máximo de 10.0.
La compañía reveló que se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 8.14 antes de la 17.1.7, desde la 17.2 antes de la 17.2.5, y desde la 17.3 antes de la 17.3.2, lo que permite a un atacante activar un pipeline como un usuario arbitrario en ciertas circunstancias.
Las versiones 17.3.2, 17.2.5, 17.1.7 para las Ediciones Comunitaria (CE) y de Empresas (EE) de GitLab abordan esta vulnerabilidad, junto con tres errores de alta severidad, 11 de mediana severidad y dos de baja severidad.
Es relevante destacar que CVE-2024-6678 es el cuarto fallo de este tipo que GitLab ha parcheado en el último año después de CVE-2023-5009 (puntuación CVSS: 9.6), CVE-2024-5655 (puntuación CVSS: 9.6), y CVE-2024-6385 (puntuación CVSS: 9.6).
Aunque no hay evidencia de explotación activa de los fallos, se recomienda a los usuarios aplicar los parches lo antes posible para mitigar posibles amenazas. Además, a principios de mayo, la Agencia de Seguridad de Ciberseguridad e Infraestructura de Estados Unidos (CISA) divulgó que una vulnerabilidad crítica de GitLab (CVE-2023-7028, puntuación CVSS: 10.0) había sido objeto de explotación activa en la naturaleza.
Vía The Hacker News
