Cabecera-v2-web.jpg

Vulnerabilidad RCE en GitLab CE/EE


30/03/2021

Recientemente un investigador de seguridad ha alertado sobre una vulnerabilidad en GitLab CE/EE catalogada como CVE-2021-22192 de severidad crítica puntuación 9,9 que afecta a todas las versiones gitlab a partir de 13.2 en adelante que permite a un atacante ejecutar código arbitrario en el servidor afectado sin necesidad de estar autenticado. No se publicaron mayores detalles sobre la vulnerabilidad, la cual fue reportada de manera privada a los desarrolladores de GitLab.

Versiones que se ven afectadas:

  • GitLab CE/EE versión 13.2 y posteriores

GitLab es una solución de control de versiones y desarrollo de software colaborativo basado en Git, que también tiene una versión Cloud, como servicio, mantenida por el equipo de Gitlab y no está afectada por la vulnerabilidad; sin embargo, muchas organizaciones utilizan su propio servidor de gestión de proyectos de software mediante una instalación on-premise de Gitlab. Dichas organizaciones deben actualizar cuanto antes el software.

GitLab ha publicado el parche de emergencia 13.9.3 el cual corrige dicha vulnerabilidad. Además, seguidamente, ha publicado la versión 13.10 la cual además incluye otras mejoras.

Impacto:

La explotación de esta vulnerabilidad permite que cualquier atacante remoto no autenticado ejecute código arbitrario, logrando el control completo del servidor.

Recomendaciones

Referencias


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11