11 de octubre de 2024Ravie LakshmananDevOps/Vulnerabilidad GitLab ha lanzado actualizaciones de seguridad para Community Edition (CE) y Enterprise Edition (EE) para abordar ocho fallas de seguridad, incluido un error crítico que podría permitir ejecutar Integración continua y Entrega continua (CI/CD). ) tuberías en ramas arbitrarias. Registrada como CVE-2024-9164, la vulnerabilidad tiene una puntuación CVSS de 9,6 sobre 10. «Se descubrió un problema en GitLab EE que afecta a todas las versiones desde la 12.5 hasta la 17.2.9, desde la 17.3, hasta la 17.3.5, y a partir de 17.4 anterior a 17.4.2, lo que permite ejecutar canalizaciones en ramas arbitrarias», dijo GitLab en un aviso. De los siete problemas restantes, cuatro tienen una calificación alta, dos tienen una calificación media y uno tiene una gravedad baja: CVE-2024-8970 (puntuación CVSS: 8,2), que permite a un atacante activar una canalización como otro usuario en determinadas circunstancias. CVE-2024-8977 (puntuación CVSS: 8,2), que permite ataques SSRF en instancias de GitLab EE con Product Analytics Dashboard configurado y habilitado CVE-2024-9631 (puntuación CVSS: 7,5), que provoca lentitud al visualizar diferencias de solicitudes de fusión con conflictos CVE-2024-6530 (puntuación CVSS: 7,3), que da como resultado la inyección de HTML en la página OAuth al autorizar una nueva aplicación debido a un problema de secuencias de comandos entre sitios. El aviso es la última arruga de lo que parece ser un flujo constante de canalizaciones. vulnerabilidades relacionadas que han sido reveladas por GitLab en los últimos meses. El mes pasado, la empresa abordó otra falla crítica (CVE-2024-6678, puntuación CVSS: 9,9) que podría permitir a un atacante ejecutar trabajos de canalización como un usuario arbitrario. Antes de eso, también solucionó otras tres deficiencias similares: CVE-2023-5009 (puntuación CVSS: 9,6), CVE-2024-5655 (puntuación CVSS: 9,6) y CVE-2024-6385 (puntuación CVSS: 9,6). Si bien no hay evidencia de explotación activa de la vulnerabilidad, se recomienda a los usuarios que actualicen sus instancias a la última versión para protegerse contra posibles amenazas. ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.