CVE-2022-1680 secuestro de cuenta en Gitlab

AS-055-0222

Fecha: 06/Jun/2022

Resumen:

Gitlab advierte sobre una vulnerabilidad de secuestro de cuentas presente en las versiones GitLab Enterprise Edition (EE) 11.10 hasta la 14.9.5; y todas las versiones desde la 14.10 hasta la 14.10.4, y desde la 15.0 hasta la 15.0.1.

Con un puntaje CVSS de 9.9, se establece que los productos que implementan SAML SSO, con la opción SCIM, presente en las versiones premium de suscripción, permitirían al dueño de un grupo premium invitar usuarios de manera arbitraria a través de nombre de usuario e email. Un atacante que controle el correo del usuario arbitrario podrá tomar posesión de dicha cuenta.

Se recomienda actualizar los paquetes de Gitlab conforme las liberaciones presentadas por el fabricante.

Referencias:

https://securityonline.info/cve-2022-1680-gitlab-account-take-over-vulnerability/
https://www.bleepingcomputer.com/news/security/gitlab-security-update-fixes-critical-account-take-over-flaw/