Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

[Actualización 09/10/2024] Omisión de autenticación SAML en GitLab CE/EE

Fecha de publicación 18/09/2024
Identificador
INCIBE-2024-0462
Importancia
5 - Crítica
Recursos Afectados

Ediciones Gitlab Community y Enterprise, versiones anteriroes a: 17.3.2, 17.2.6, 17.1.7, 17.0.7, 16.11.9.

Descripción

Gitlab ha publicado una actualización para las ediciones de Gitlab Community (CE) y Enterprise (EE), que soluciona una vulnerabilidad de severidad crítica que podría permitir la omisión de autenticación SAML.

Solución

Actualizar los productos afectados a las versiones: 17.3.3, 17.2.7, 17.1.8, 17.0.8 y 16.11.10.

Detalle

Se ha descubierto una vulnerabilidad en GitLab CE/EE que afecta a las versiones 17.3.2, 17.2.6, 17.1.7, 17.0.7, 16.11.9 y anteriores. Un atacante no autenticado con acceso a cualquier documento SAML firmado por el IdP podría falsificar una respuesta/aserción SAML con contenido arbitrario. Esto permitiría al atacante iniciar sesión como un usuario cualquiera dentro del sistema vulnerable. Se ha asignado el identificador CVE-2024-45409 para esta vulnerabilidad.