Se han publicado dos vulnerabilidades descubiertas en GitLab Community Edition, aplicación de código abierto que se utiliza, principalmente, para alojar repositorios Git (con funciones adicionales relacionadas con el desarrollo, como por ejemplo, el seguimiento de incidentes).
A continuación, se describen brevemente las 2 vulnerabilidades catalogadas como altas por GitLAb, ya que, por el momento, se desconocen sus detalles técnicos y aún no han sido registradas en la base de datos del NIST, ni recibido puntuación de acuerdo a la escala CVSSv3:
|
CVE |
Criticidad |
Impacto |
|
CVE-2021-22166 |
ALTA |
Vulnerabilidad que aprovecha una insuficiente validación de los datos suministrados por el usuario cuando se procesan las solicitudes HTTP. Un atacante remoto puede pasar una solicitud HTTP especialmente elaborada a la aplicación y realizar un ataque de denegación de servicio (DoS). |
|
CVE-2020-26414 |
ALTA |
Vulnerabilidad que aprovecha una insuficiente validación de los datos suministrados por el usuario en ciertas expresiones regulares cuando se procesan los nombres de los paquetes durante su carga. Un atacante remoto puede pasar una solicitud HTTP especialmente elaborada a la aplicación y realizar un ataque de denegación de servicio (DoS). |
Recursos afectados:
- Gitlab Community Edition versión 13.7.1 y anteriores.
Solución a las vulnerabilidades:
Actualizar a la versión Gitlab Community Edition versión 13.7.2 disponible
para su descarga a través del enlace que se ofrece a continuación:
Recomendaciones:
El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, se desconocen medidas de mitigación alternativas a las propias actualizaciones lanzadas por GitLab para solucionar estas vulnerabilidades.
Referencias:
