Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en GitLab

Fecha de publicación 02/06/2022
Identificador

INCIBE-2022-0776

Importancia
5 - Crítica
Recursos Afectados

Versiones anteriores a la 15.0.1, 14.10.4, y 14.9.5, de los productos:

  • GitLab Community Edition (CE),
  • GitLab Enterprise Edition (EE).
Descripción

GitLab ha publicado nuevas versiones que solucionan 8 vulnerabilidades, siendo 1 crítica, 2 altas, 4 medias y 1 baja.

Solución

Actualizar a la última versión disponible (15.0.1, 14.10.4, 14.9.5 o posteriores).

Detalle

Cuando se configura el SAML SSO de grupo, la función SCIM (disponible sólo en las suscripciones Premium+) podría permitir a cualquier propietario de un grupo Premium, invitar a usuarios arbitrarios a través de su nombre de usuario y correo electrónico, y luego cambiar los emails de esos usuarios a través de SCIM a una dirección controlada por el atacante y tomar el control de esas cuentas. También es posible que el atacante cambie el nombre del display y el del usuario de la cuenta objetivo. Se ha asignado el identificador CVE-2022-1680 para esta vulnerabilidad de severidad crítica.

Para las vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2022-1940 y CVE-2022-1948.

Para las vulnerabilidades de severidad media se han asignado los identificadores: CVE-2022-1935, CVE-2022-1936, CVE-2022-1944 y CVE-2022-1821.

Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2022-1783.

Encuesta valoración

Listado de referencias
GitLab Critical Security Release: 15.0.1, 14.10.4, and 14.9.5
Etiquetas