GitLab ha enviado parches de seguridad para resolver una falla crítica que permite a un atacante ejecutar canalizaciones como otro usuario.
El problema, registrado como CVE-2023-5009 (puntaje CVSS: 9.6), afecta a todas las versiones de GitLab Enterprise Edition (EE) desde la 13.12 y anteriores a la 16.2.7, así como a la 16.3 y anteriores a la 16.3.4.
«Era posible que un atacante ejecutara canalizaciones como un usuario arbitrario a través de políticas de análisis de seguridad programadas», dijo GitLab en un aviso. «Esta fue una omisión de CVE-2023-3932 que muestra un impacto adicional».
La explotación exitosa de CVE-2023-5009 podría permitir que un actor de amenazas acceda a información confidencial o aproveche los permisos elevados del usuario suplantado para modificar el código fuente o ejecutar código arbitrario en el sistema, lo que tendría graves consecuencias.
Al investigador de seguridad Johan Carlsson (también conocido como joaxcar) se le atribuye el mérito de descubrir e informar la falla. GitLab abordó CVE-2023-3932 a principios de agosto de 2023.
La vulnerabilidad se solucionó en las versiones 16.3.4 y 16.2.7 de GitLab.
La divulgación se produce cuando un error crítico de GitLab de dos años ( CVE-2021-22205 , puntuación CVSS: 10.0) continúa siendo explotado activamente por actores de amenazas en ataques del mundo real.
A principios de esta semana, Trend Micro reveló que un adversario vinculado a China conocido como Earth Lusca está apuntando agresivamente a servidores públicos al utilizar como arma fallas de seguridad del día N, incluido CVE-2021-22205, para infiltrarse en las redes de las víctimas.
Se recomienda encarecidamente que los usuarios actualicen sus instalaciones de GitLab a la última versión lo antes posible para protegerse contra riesgos potenciales.
Fuente y redacción: thehackernews.com
