Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a GitLab Community Edition (CE) y Enterprise Edition (EE), que permitirían a un atacante autenticado realizar ejecución remota de código (RCE), cross-site scripting (XSS), denegación de servicios (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica”, 2 (dos) de severidad “Alta”, 10 (diez) de severidad “Media”, y 2 (dos) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2022-2992, de severidad “crítica”, con una puntuación asignada de 9.9. Esta vulnerabilidad se debe a una falla en el punto de enlace de la API Importar desde GitHub. Esto permitiría a un atacante realizar ejecución remota de código (RCE).
- CVE-2022-2865, de severidad “alta”, con una puntuación asignada de 7.3. Esta vulnerabilidad se debe a una falla en la configuración de la función de color de las etiquetas. Esto permitiría a un atacante realizar cross-site scripting (XSS).
- CVE-2022-2527, de severidad “alta”, con una puntuación asignada de 7.3. Esta vulnerabilidad se debe a una falla de validación en el componente Incidents Timeline description. Esto permitiría a un atacante inyectar contenido malicioso en el sistema.
Puede acceder a la lista completa de vulnerabilidades en el siguiente enlace.
Los productos afectados son:
- GitLab Community Edition (CE), versiones anteriores a la 15.3.2, 15.2.4 y 15.1.6.
- GitLab Enterprise Edition (EE), versiones anteriores a la 15.3.2, 15.2.4 y 15.1.6.
Recomendamos instalar las actualizaciones correspondientes provistas por GitLab en el siguiente enlace:
Referencias:
- https://securityonline.info/cve-2022-2992-gitlab-remote-code-execution-vulnerability/
- https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2992
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2865
- https://about.gitlab.com/update/