Vulnerabilidades

Vulnerabilidad en GitLab

24/08/2022
GitLab liberó un parche de seguridad para mitigar la vulnerabilidad CVE-2022-2884 de severidad crítica, que afecta a los productos GitLab Community Edition y GitLab Enterprise Edition, permitiendo a quien ataca la ejecución de código remoto.
Logo de GitLab

Aunque todavía no se conocen exploits públicos o pruebas de concepto, se insta actualizar a las versiones recomendadas lo antes posible.

Detalles técnicos

Productos Afectados

Versiones

  • GitLab Community Edition
  • GitLab Enterprise Edition
  • 11.3.4 hasta 15.1.4
  • 15.2 hasta 15.2.2
  • 15.3.0
CVE-2022-2884

Esta vulnerabilidad con severidad crítica (CVSS:3.1=9.9), permite a quien ataca, y esté autenticado, la ejecución de código remoto en el servidor utilizando la API de importación de GitHub.

Mitigación

En caso de que no se pudiera realizar la actualización a la brevedad, se puede mitigar de forma temporal con las siguientes instrucciones:

  • Iniciar sesión con una cuenta de administrador en su instalación de GitLab.
  • Hacer clic en "Menú" -> "Administrador".
  • Hacer clic en "Configuración" -> "General".
  • Abrir la pestaña "Visibilidad y controles de acceso".
  • En "Fuentes de importación", deshabilitar la opción "GitHub".
  • Hacer clic en "Guardar cambios".

Verificación de la solución alternativa:

 

  • En una ventana del navegador, iniciar sesión como cualquier usuario.
  • Hacer clic en "+" en la barra superior.
  • Hacer clic en "Nuevo proyecto/repositorio".
  • Hacer clic en "Importar proyecto".
  • Verificar que "GitHub" no aparezca como una opción de importación.

Recomendaciones

En vista de la gravedad de la vulnerabilidad, instamos a los administradores a actualizar lo antes posible a las versiones 15.1.5, 15.2.4, 15.3.1 según corresponda, a fin de mitigar la vulnerabilidad. Más información en el siguiente enlace.

Referencias

Acceder al sitio de Git Advisor

Acceder al sitio Mitre

Etiquetas

Amenazas y alertas Comunidad Técnica