Se han publicado actualizaciones de seguridad que abordan tres vulnerabilidades, incluida una de gravedad “alta” y dos de gravedad “media” que afectan a GitLab Community Edition (CE) y Enterprise Edition (EE).
Productos y/o versiones afectados
GitLab Community Edition (CE) y Enterprise Edition (EE)
- 17.2.x y anteriores a 17.6.4
- 17.7.x y versiones anteriores a 17.7.3
- 17.8.x y versiones anteriores a 17.8.1
Impacto
La vulnerabilidad de gravedad alta se identifica como:
- CVE-2025-0314: con un puntuación CVSS:3.1 de 8.7, el problema descubierto trata de la representación incorrecta de ciertos tipos de archivos, lo que provoca secuencias de comandos entre sitios.
Las vulnerabilidades de severidad media se identifican como:
- CVE-2024-1193: con una puntuación CVSS:3.1 de 6.4, bajo ciertas condiciones, podría haber sido posible que los usuarios con rol de desarrollador exfiltraran variables protegidas (CI/CD) a través de un (CI Lint).
- CVE-2024-6324: con una puntuación CVSS:3.1 de 4.3, fue posible desencadenar un ataque de Denegación de Servicio (DoS) al crear referencias cíclicas entre diferentes elementos de trabajo (epics) en el sistema.
Recomendación
Actualizar a la última versión lo antes posible.
Referencias
https://nvd.nist.gov/vuln/detail/CVE-2024-6324