Alerta 2024-52 Nueva Vulnerabilidad Crítica en Gitlab
Una nueva vulnerabilidad crítica en GitLab, identificada como CVE-2024-9164, ha sido descubierta, la cual permite a un atacante ejecutar pipelines con privilegios de otros usuarios. Esta vulnerabilidad afecta versiones de GitLab Enterprise Edition (EE). Con un puntaje de severidad de 9.6 sobre 10 en la escala CVSS, la vulnerabilidad es especialmente peligrosa por su capacidad de ser explotada de forma remota sin interacción del usuario y con bajos privilegios.
Los pipelines en GitLab son flujos de trabajo automatizados, como pruebas o despliegues. Si un atacante puede ejecutar pipelines sin control, podría desplegar código malicioso en entornos de producción o alterar pruebas críticas sin autorización, lo que llevaría a fallos en la seguridad o disponibilidad de servicios.
GitLab ha lanzado actualizaciones críticas que corrigen esta vulnerabilidad en las versiones 17.3.2, 17.2.5 y 17.1.7. Se recomienda a los usuarios aplicar inmediatamente los parches disponibles.
Una mitigación temporal sería deshabilitar la ejecución de pipelines en ramas no protegidas y limitar el acceso a los recursos críticos a usuarios de confianza hasta que se pueda aplicar el parche de seguridad recomendado. También es recomendable revisar los permisos de los usuarios y reforzar las reglas de seguridad en las configuraciones de CI/CD para evitar explotaciones durante el período de exposición
Para más detalles y acceso a las actualizaciones, pueden consultar la documentación oficial de GitLab