GitLab corrige vulnerabilidad crítica que permite la ejecución no autorizada de trabajos de canalización

GitLab publicó el miércoles actualizaciones de seguridad para corregir 17 vulnerabilidades, incluyendo una falla crítica que permite a un atacante ejecutar trabajos de pipeline como si fuera un usuario arbitrario.

El problema, identificado como CVE-2024-6678, tiene un puntaje CVSS de 9.9 sobre un máximo de 10.0.

«Se detectó un problema en GitLab CE/EE que afecta a todas las versiones desde 8.14 hasta antes de 17.1.7, desde 17.2 hasta antes de 17.2.5, y desde 17.3 hasta antes de 17.3.2, que permite a un atacante ejecutar un pipeline como un usuario arbitrario bajo ciertas condiciones», informó la empresa en una alerta.

Esta vulnerabilidad, junto con tres fallos de alta gravedad, 11 de gravedad media y dos de baja gravedad, han sido corregidos en las versiones 17.3.2, 17.2.5, 17.1.7 para GitLab Community Edition (CE) y Enterprise Edition (EE).

Es importante mencionar que CVE-2024-6678 es la cuarta vulnerabilidad de este tipo que GitLab ha solucionado en el último año, después de CVE-2023-5009 (puntaje CVSS: 9.6), CVE-2024-5655 (puntaje CVSS: 9.6) y CVE-2024-6385 (puntaje CVSS: 9.6).

Aunque no se ha encontrado evidencia de explotación activa de estas fallas, se aconseja a los usuarios aplicar los parches lo antes posible para prevenir posibles amenazas.

A principios de mayo, la Agencia de Seguridad Cibernética e Infraestructura de EE.UU. (CISA) informó que una vulnerabilidad crítica de GitLab (CVE-2023-7028, puntaje CVSS: 10.0) estaba siendo explotada activamente en el entorno.