12 de septiembre de 2024Ravie LakshmananDevSecOps / Vulnerabilidad GitLab lanzó el miércoles actualizaciones de seguridad para abordar 17 vulnerabilidades de seguridad, incluida una falla crítica que permite a un atacante ejecutar trabajos de pipeline como un usuario arbitrario. El problema, identificado como CVE-2024-6678, tiene una puntuación CVSS de 9,9 sobre un máximo de 10,0 «Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 8.14 anterior a la 17.1.7, a partir de la 17.2 anterior a la 17.2.5 y a partir de la 17.3 anterior a la 17.3.2, que permite a un atacante activar un pipeline como un usuario arbitrario en determinadas circunstancias», dijo la empresa en una alerta. La vulnerabilidad, junto con tres errores de gravedad alta, 11 de gravedad media y dos de gravedad baja, se han solucionado en las versiones 17.3.2, 17.2.5 y 17.1.7 para GitLab Community Edition (CE) y Enterprise Edition (EE). Vale la pena señalar que CVE-2024-6678 es la cuarta falla de este tipo que GitLab ha parcheado durante el año pasado después de CVE-2023-5009 (puntuación CVSS: 9,6), CVE-2024-5655 (puntuación CVSS: 9,6) y CVE-2024-6385 (puntuación CVSS: 9,6). Si bien no hay evidencia de explotación activa de las fallas, se recomienda a los usuarios que apliquen los parches lo antes posible para mitigar las posibles amenazas. A principios de mayo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) reveló que una vulnerabilidad crítica de GitLab (CVE-2023-7028, puntuación CVSS: 10.0) había sido explotada activamente. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.