La plataforma de GitLab ha restablecido las contraseñas de algunas cuentas de usuarios, tras solucionar una vulnerabilidad crítica que podría tomar el control de las cuentas.
Según la compañía, en las versiones de GitLab Community Edition (CE) y Enterprise Edition (EE) anteriores a la 14.7.7, 14.8.5 y 14.9.2, se establecía una contraseña codificada cuando la cuenta se registraba utilizando un proveedor OmniAuth.
El fallo de gravedad crítica, se identifica como CVE-2022-1162 y con una puntucación CVSS de 9,1. Además de solucionar la vulnerabilidad, GitLab ha restablecido las contraseñas de los usuarios que se cree que han podido ser afectados por esta vulnerabilidad.
«Nuestra investigación no muestra indicios de que los usuarios o las cuentas se hayan visto comprometidos, pero estamos tomando medidas de precaución para la seguridad de nuestros usuarios», dijo la compañía.
GitLab también ha publicado un script que permite a los administradores identificar las cuentas que podrían estar afectadas por el CVE-2022-1162. Las contraseñas de todas las cuentas implicadas deben de ser restablecidas.
No solo hay una vulnerabilidad grave, si no que son tres
La última versión de GitLab soluciona este fallo, junto a dos vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) de alta gravedad.
El primero de los fallos, identificado como CVE-2022-1175 (con una puntuación CVSS de 8,7), se debe a la incorrecta neutralización de las entradas del usuario en las notas. Así, un atacante podría inyectar HTML en las notas y explotar el XSS.
El segundo fallo se registra como CVE-2022-1190 (puntuación CVSS de 8,7) y se debe a la gestión inadecuada de la entrada del usuario. Un atacante podría explotar el fallo abusando de las referencias a hitos de varias palabras en la descripción de las incidencias o en los comentarios.
Las versiones 14.9.2, 14.8.5 y 14.7.7 de GitLab CE/EE solucionan estos problemas y otros 14 fallos de gravedad media y baja. Se aconseja a todos los usuarios que actualicen a la versión actual lo antes posible.
Más información:
GitLab Critical Security Release: 15.0.1, 14.10.4, and 14.9.5
Comentarios recientes