Se ha identificado una vulnerabilidad en GitLab que permite la evasión de restricciones de seguridad, lo que podría ser aprovechado por un actor malicioso para eludir mecanismos de protección y acceder a recursos o funcionalidades restringidas. Esta vulnerabilidad afecta tanto a la Edición Comunitaria (CE) como a la Edición Empresarial (EE) de GitLab.
Productos afectados:
GitLab Community Edition (CE) ed Enterprise Edition (EE)
- GitLab 17.5.x, versiones anteriores a la 17.5.2
- GitLab 17.4.x, versiones anteriores a la 17.4.4
- GitLab 16.0.x, versiones anteriores a la 17.3.7
Impacto:
La vulnerabilidad se identifica como CVE-2024-9693 de severidad alta, fue descubierto en GitLab CE/EE afectando a todas las versiones a partir de 16.0 antes de 17.3.7, a partir de 17.4 antes de 17.4, y a partir de 17,5 antes de 17.5.2, lo que podría haber permitido el acceso no autorizado al agente Kubernetes en un clúster bajo configuraciones específicas.
Recomendación:
Actualizar a la versión más reciente de GitLab que corrige esta vulnerabilidad. Las actualizaciones pueden descargarse desde la página oficial del fabricante.
Referencias:
https://about.gitlab.com/releases/2024/11/13/patch-release-gitlab-17-5-2-released/