Se han detectado múltiples vulnerabilidades, incluída una de severidad alta, en GitLab Community Edition (CE) y Enterprise Edition (EE). Estas vulnerabilidades permitirían el acceso a información sensible, la escalada de privilegios y condiciones DoS.
Productos Afectados
GitLab CE/EE – Versiones anteriores a 17.4.5 desde 8.12
GitLab CE/EE 17.5.X – Versiones anteriores a 17.5.3
GitLab CE/EE 17.6.X – Versiones anteriores a 17.6.1
Impacto
La vulnerabilidad de severidad alta se identifica como:
CVE-2024-8114: Puntuación CVSS 8.2. La vulnerabilidad permitiría a un atacante escalar privilegios si cuenta con el Token de Acceso Personal (PAT) de un usuario.
Las demás vulnerabilidades se identifican como:
CVE-2024-8237: Puntuación CVSS 6.5, severidad media. La vulnerabilidad permitiría a un atacante causar condiciones tipo Denial of Service (DoS) mediante un archivo cargo.toml malicioso.
CVE-2024-11669: Puntuación CVSS 6.5, severidad media. La vulnerabilidad permitiría a un atacante acceder a información sensible a través de ciertos API endpoints.
CVE-2024-8177: Puntuación CVSS 5.4, severidad media. La vulnerabilidad permitiría a un atacante causar condiciones tipo Denial of Service (DoS) mediante la integración de un registro Harbor malicioso.
CVE-2024-11828: Puntuación CVSS 4.3, severidad media. La vulnerabilidad permitiría a un atacante causar condiciones tipo Denial of Service (DoS) mediante el envío de llamadas API maliciosas.
CVE-2024-11668: Puntuación CVSS 4.2, severidad media. La vulnerabilidad permitiría a un atacante saltarse controles de autorización y acceder a información sensible.
Recomendación
Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.
Referencias
https://about.gitlab.com/releases/2024/11/26/patch-release-gitlab-17-6-1-released
https://www.tenable.com/cve/CVE-2024-8114
https://www.tenable.com/cve/CVE-2024-8237
https://www.tenable.com/cve/CVE-2024-11669
https://www.tenable.com/cve/CVE-2024-8177
https://www.tenable.com/cve/CVE-2024-11828
https://www.tenable.com/cve/CVE-2024-11668