GitLab advierte de una vulnerabilidad crítica de secuestro de cuentas sin hacer clic
AS-08-2024
Fecha: 15/Ene/2024
Resumen:
GitLab ha lanzado las versiones 16.7.2, 16.6.3 y 16.5.6 para GitLab Community Edition (CE) y Enterprise Edition (EE) con el fin de abordar una serie de vulnerabilidades críticas. Dos vulnerabilidades son críticas, y otras tres se han determinado como de gravedad alta, media y baja.
Descripción.
CVE-2023-7028 (Gravedad Crítica): Se trata de un problema de autenticación que permite enviar restablecimientos de contraseña a direcciones de correo no verificadas. Los actores de amenazas no necesitan interacción para explotar con éxito esta vulnerabilidad. Las versiones afectadas incluyen 16.1 antes de 16.1.5 hasta 16.7 antes de 16.7.2.
CVE-2023-5356 (Gravedad Crítica): Esta vulnerabilidad permite la suplantación de otro usuario para ejecutar comandos slash y abusar de Slack/Mattermost. Existen comprobaciones de autorización incorrectas en varias versiones. Las versiones afectadas incluyen 8.13 antes de 16.5.6, 16.6 antes de 16.6.4 y 16.7 antes de 16.7.2.
Además, hay tres vulnerabilidades adicionales relacionadas con el bypass de la aprobación de CODEOWNERS, la creación de espacios de trabajo bajo un espacio de nombres raíz diferente y la modificación de los metadatos de confirmaciones firmadas.
Solución.
Realizar las actualizaciones a las versiones más recientes (16.7.2, 16.6.3, 16.5.6) de GitLab CE y EE. Además, GitLab aconseja habilitar la autenticación de dos factores para todas las cuentas como medida de seguridad adicional.
Referencias:
https://thehackernews.com/2024/01/urgent-gitlab-releases-patch-for.html
https://www.helpnetsecurity.com/2024/01/12/cve-2023-7028/
https://securityaffairs.com/157389/security/gitlab-zero-click-account-hijacking-flaw.html
