28 de junio de 2024Sala de prensaSoftware Security / DevOps GitLab ha lanzado actualizaciones de seguridad para abordar 14 fallas de seguridad, incluida una vulnerabilidad crítica que podría explotarse para ejecutar canales de integración e implementación continuas (CI/CD) como cualquier usuario. Las debilidades, que afectan a GitLab Community Edition (CE) y Enterprise Edition (EE), se solucionaron en las versiones 17.1.1, 17.0.3 y 16.11.5. La más grave de las vulnerabilidades es CVE-2024-5655 (puntuación CVSS: 9,6), que podría permitir a un actor malintencionado activar una canalización como otro usuario en determinadas circunstancias. Afecta a las siguientes versiones de CE y EE: 17.1 anterior a 17.1.1, 17.0 anterior a 17.0.3 y 15.8 anterior a 16.11.5. GitLab dijo que la solución introduce dos cambios importantes como resultado de los cuales la autenticación GraphQL usando CI_JOB_TOKEN está deshabilitada por default y las canalizaciones ya no se ejecutarán automáticamente cuando se redireccione una solicitud de fusión después de fusionar su rama de destino anterior. Algunas de las otras fallas importantes corregidas como parte de la última versión se enumeran a continuación: CVE-2024-4901 (puntaje CVSS: 8.7) – Una vulnerabilidad XSS almacenada podría importarse desde un proyecto con notas de confirmación maliciosas CVE-2024-4994 (CVSS puntuación: 8.1) – Un ataque CSRF a la API GraphQL de GitLab que conduce a la ejecución de mutaciones arbitrarias de GraphQL CVE-2024-6323 (puntuación CVSS: 7.5) – Una falla de autorización en la función de búsqueda global que permite la fuga de información confidencial de un sitio privado repositorio dentro de un proyecto público CVE-2024-2177 (puntuación CVSS: 6,8): una vulnerabilidad de falsificación de ventanas cruzadas que permite a un atacante abusar del flujo de autenticación OAuth a través de una carga útil diseñada. Si bien no hay evidencia de explotación activa de las fallas, los usuarios Se recomienda aplicar los parches para mitigar posibles amenazas. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.