GitLab ha lanzado actualizaciones de seguridad que resuelven 12 vulnerabilidades, incluidas dos con severidad altas, en GitLab Community Edition (CE) y Enterprise Edition (EE).
Productos afectados:
GitLab Community Edition (CE) y Enterprise Edition (EE)
- Versiones 17.6.2 y anteriores
- Versiones 17.5.4 y anteriores
- Todas las versiones de 9.4, anteriores a la 17.4.6
Impacto
Las vulnerabilidades de severidad alta se identifican como:
CVE-2024-11274: Puntuación CVSS 8.7. Una vulnerabilidad de inyección de encabezados NEL en la respuesta del proxy de Kubernetes, lo que podría resultar en la exfiltración de datos de sesión, afectando la seguridad de los usuarios.
CVE-2024-8233: Puntuación CVSS 7.5. Esta vulnerabilidad puede ser explotada por un actor malicioso para causar una denegación de servicio ,con solicitudes de archivos diff en una solicitud de confirmación o fusión.
Recomendación:
Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.
Referencias:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-8233
https://about.gitlab.com/releases/2024/12/11/patch-release-gitlab-17-6-2-released/#denial-of-service-by-repeatedly-sending-unauthenticated-requests-for-diff-files
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-11274