Vulnerabilidades en GitLab

Se han detectado múltiples vulnerabilidades, incluída una de severidad alta, en GitLab Community Edition (CE) y Enterprise Edition (EE). Estas vulnerabilidades permitirían el acceso a información sensible, la escalada de privilegios y condiciones DoS.

Productos Afectados

GitLab CE/EE – Versiones anteriores a 17.4.5 desde 8.12

GitLab CE/EE 17.5.X – Versiones anteriores a 17.5.3

GitLab CE/EE 17.6.X – Versiones anteriores a 17.6.1

Impacto

La vulnerabilidad de severidad alta se identifica como:

CVE-2024-8114: Puntuación CVSS 8.2. La vulnerabilidad permitiría a un atacante escalar privilegios si cuenta con el Token de Acceso Personal (PAT) de un usuario.

Las demás vulnerabilidades se identifican como:

CVE-2024-8237: Puntuación CVSS 6.5, severidad media. La vulnerabilidad permitiría a un atacante causar condiciones tipo Denial of Service (DoS) mediante un archivo cargo.toml malicioso.

CVE-2024-11669: Puntuación CVSS 6.5, severidad media. La vulnerabilidad permitiría a un atacante acceder a información sensible a través de ciertos API endpoints.

CVE-2024-8177: Puntuación CVSS 5.4, severidad media. La vulnerabilidad permitiría a un atacante causar condiciones tipo Denial of Service (DoS) mediante la integración de un registro Harbor malicioso.

CVE-2024-11828: Puntuación CVSS 4.3, severidad media. La vulnerabilidad permitiría a un atacante causar condiciones tipo Denial of Service (DoS) mediante el envío de llamadas API maliciosas.

CVE-2024-11668: Puntuación CVSS 4.2, severidad media. La vulnerabilidad permitiría a un atacante saltarse controles de autorización y acceder a información sensible.

Recomendación

Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.

Referencias

https://about.gitlab.com/releases/2024/11/26/patch-release-gitlab-17-6-1-released

https://www.tenable.com/cve/CVE-2024-8114

https://www.tenable.com/cve/CVE-2024-8237

https://www.tenable.com/cve/CVE-2024-11669

https://www.tenable.com/cve/CVE-2024-8177

https://www.tenable.com/cve/CVE-2024-11828

https://www.tenable.com/cve/CVE-2024-11668

Compartir: