GitLab lanza un parche para una vulnerabilidad crítica que podría permitir a los atacantes secuestrar cuentas

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

La plataforma de DevOps GitLab ha publicado actualizaciones de software para abordar una vulnerabilidad de seguridad crítica que, si se explota potencialmente, podría permitir a un adversario hacerse con el control de las cuentas.

El problema, identificado como CVE-2022-1162, tiene una puntuación CVSS de 9,1 y ha sido descubierto internamente por el equipo de GitLab.

“En las versiones de GitLab CE/EE 14.7 anterior a la 14.7.7, 14.8 anterior a la 14.8.5 y 14.9 anterior a la 14.9.2 se establecía una contraseña codificada para las cuentas registradas mediante un proveedor OmniAuth (por ejemplo, OAuth, LDAP, SAML), lo que permitía a los atacantes hacerse con el control de las cuentas”, dijo la empresa en un aviso publicado el 31 de marzo.

GitLab, que ha solucionado el fallo con el último lanzamiento de las versiones 14.9.2, 14.8.5 y 14.7.7 para GitLab Community Edition (CE) y Enterprise Edition (EE), también dijo que tomó la medida de restablecer la contraseña de un número no especificado de usuarios por precaución.

La compañía también ha publicado un script que los administradores de instancias autogestionadas pueden ejecutar para identificar las cuentas potencialmente afectadas por CVE-2022-1162. Una vez identificadas las cuentas afectadas, se ha aconsejado restablecer la contraseña.

En la actualización de seguridad, GitLab también aborda dos fallos de secuencias de comandos en sitios cruzados (XSS) almacenados de alta gravedad (CVE-2022-1175 y CVE-2022-1190), así como nueve fallos de gravedad media y cinco problemas de gravedad baja.

Dada la gravedad de algunos de los problemas, se recomienda encarecidamente a los usuarios con instalaciones afectadas que actualicen a la última versión lo antes posible.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *