Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Lectura arbitraria en varios productos de GitLab

Fecha de publicación 08/07/2021
Importancia
5 - Crítica
Recursos Afectados
  • GitLab Community Edition (CE), todas las versiones desde la 13.11, 13.12 y 14.0;
  • GitLab Enterprise Edition (EE), todas las versiones desde la 13.11, 13.12 y 14.0.
Descripción

El investigador, vakzz, ha reportado al programa HackerOne bug bounty de GitLab una vulnerabilidad de severidad crítica, que podría permitir a un atacante leer archivos de forma arbitraria en el servidor.

Solución

Actualizar los productos afectados a la versión 14.0.4, 13.12.8 o 13.11.7, según corresponda, a través de la web del fabricante.

Detalle

Una vulnerabilidad de lectura arbitraria de archivos debida a una característica de diseño podría permitir a un atacante leer archivos arbitrarios del servidor.

Encuesta valoración

Listado de referencias
GitLab Critical Security Release: 14.0.4, 13.12.8, and 13.11.7
Etiquetas