Martes, 12 January 2021 08:21

Vulnerabilidades en Gitlab Community Edition

El CSIRT de Entelgy Innotec Security avisa de la publicación de varias vulnerabilidades en Gitlab Community Edition.

Se han publicado dos vulnerabilidades descubiertas en GitLab Community Edition, aplicación de código abierto que se utiliza, principalmente, para alojar repositorios Git (con funciones adicionales relacionadas con el desarrollo, como por ejemplo, el seguimiento de incidentes).

A continuación, se describen brevemente las 2 vulnerabilidades catalogadas como altas por GitLAb, ya que, por el momento, se desconocen sus detalles técnicos y aún no han sido registradas en la base de datos del NIST, ni recibido puntuación de acuerdo a la escala CVSSv3:

CVE

Criticidad

Impacto

CVE-2021-22166

ALTA

Vulnerabilidad que aprovecha una insuficiente validación de los datos suministrados por el usuario cuando se procesan las solicitudes HTTP. Un atacante remoto puede pasar una solicitud HTTP especialmente elaborada a la aplicación y realizar un ataque de denegación de servicio (DoS).

CVE-2020-26414

ALTA

Vulnerabilidad que aprovecha una insuficiente validación de los datos suministrados por el usuario en ciertas expresiones regulares cuando se procesan los nombres de los paquetes durante su carga. Un atacante remoto puede pasar una solicitud HTTP especialmente elaborada a la aplicación y realizar un ataque de denegación de servicio (DoS).

Recursos afectados:

  • Gitlab Community Edition versión 13.7.1 y anteriores.

Solución a las vulnerabilidades:

Actualizar a la versión Gitlab Community Edition versión 13.7.2 disponible
para su descarga a través del enlace que se ofrece a continuación:

Recomendaciones:

El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, se desconocen medidas de mitigación alternativas a las propias actualizaciones lanzadas por GitLab para solucionar estas vulnerabilidades.

Referencias:

Visto 411 veces

Avda. Llano Castellano, 43
28034 Madrid
+34 917 281 504
innotec.security


InnoTec

Sobre nosotros

InnoTec nace en 2002 como empresa especializada en ciberseguridad, inteligencia, prevención y gestión de riesgos. Actualmente contamos con una plantilla de más de 350 profesionales altamente cualificados en España, y estamos presentes en los principales mercados de Latinoamérica y Estados Unidos.

Ampliar información
Presentación corporativa