GitLab publicó el miércoles actualizaciones de seguridad para corregir 17 vulnerabilidades, incluyendo una falla crítica que permite a un atacante ejecutar trabajos de pipeline como si fuera un usuario arbitrario.
El problema, identificado como CVE-2024-6678, tiene un puntaje CVSS de 9.9 sobre un máximo de 10.0.
«Se detectó un problema en GitLab CE/EE que afecta a todas las versiones desde 8.14 hasta antes de 17.1.7, desde 17.2 hasta antes de 17.2.5, y desde 17.3 hasta antes de 17.3.2, que permite a un atacante ejecutar un pipeline como un usuario arbitrario bajo ciertas condiciones», informó la empresa en una alerta.
Esta vulnerabilidad, junto con tres fallos de alta gravedad, 11 de gravedad media y dos de baja gravedad, han sido corregidos en las versiones 17.3.2, 17.2.5, 17.1.7 para GitLab Community Edition (CE) y Enterprise Edition (EE).
Es importante mencionar que CVE-2024-6678 es la cuarta vulnerabilidad de este tipo que GitLab ha solucionado en el último año, después de CVE-2023-5009 (puntaje CVSS: 9.6), CVE-2024-5655 (puntaje CVSS: 9.6) y CVE-2024-6385 (puntaje CVSS: 9.6).
Aunque no se ha encontrado evidencia de explotación activa de estas fallas, se aconseja a los usuarios aplicar los parches lo antes posible para prevenir posibles amenazas.
A principios de mayo, la Agencia de Seguridad Cibernética e Infraestructura de EE.UU. (CISA) informó que una vulnerabilidad crítica de GitLab (CVE-2023-7028, puntaje CVSS: 10.0) estaba siendo explotada activamente en el entorno.