Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
Se descubrió una vulnerabilidad en GitLab CE/EE que afecta a todas las versiones desde la 8.14 hasta la 17.3.1. La vulnerabilidad identificada como CVE-2024-6678 permite a un atacante ejecutar trabajos de pipeline como un usuario arbitrario bajo ciertas condiciones. Esta falla, con una puntuación CVSS de 9.9/10, es crítica, ya que permite una explotación remota sin interacción del usuario.
Además de CVE-2024-6678, GitLab ha parcheado previamente vulnerabilidades similares de alta severidad como CVE-2023-5009, CVE-2024-5655 y CVE-2024-6385, todas con una puntuación de 9.6/10. Aunque no se han reportado explotaciones activas hasta la fecha, es crucial aplicar los parches de seguridad para mitigar posibles ataques.
Recursos afectados
- Todas las versiones de GitLab CE/EE desde la 8.14 hasta la 17.1.7, desde la 17.2 hasta la 17.2.5, y desde la 17.3 hasta la 17.3.1.
- La seguridad de los pipelines en los sistemas afectados, que pueden ser manipulados por usuarios no autorizados.
Solución
- Actualizar de inmediato a las versiones 17.3.2, 17.2.5 o 17.1.7 de GitLab Community Edition (CE) o Enterprise Edition (EE).
- Implementar prácticas de seguridad adicionales, como la revisión continua de permisos de usuarios para evitar ejecuciones no autorizadas
Recomendaciones
- Mantener siempre actualizados los sistemas GitLab a las últimas versiones.
- Monitorear las actividades de los pipelines para detectar comportamientos sospechosos.
- Aplicar políticas de control de acceso más estrictas para usuarios con permisos de ejecución en pipelines.
Referencias