Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en GitLab

In Noticias y Avisos CiberseguridadPosted
MĂșltiples vulnerabilidades en GitLab

Aviso
Recursos Afectados

Las siguientes versiĂłnes de GitLab estĂĄn afectadas:

  • 16.1 anterior a 16.1.5;
  • 16.2 anterior a 16.2.8;
  • 16.3 anterior a 16.3.6;
  • 16.4 anterior a 16.4.4;
  • 16.5 anterior a 16.5.6;
  • 16.6 anterior a 16.6.4;
  • 16.7 anterior a 16.7.2.
DescripciĂłn

Asterion04 ha reportado 5 vulnerabilidades: 2 de severidad crĂ­tica, una de severidad alta, una de severidad media y una de severidad baja.

La explotación de las vulnerabilidades críticas podría permitir a un atacante la adquisición de una cuenta de usuario mediante restablecimiento de contraseña sin interacción del usuario, o abusar de las integraciones Slack/Mattermost para ejecutar comandos de barra como otro usuario.

5 – CrĂ­tica
SoluciĂłn

Las vulnerabilidades han sido resultas en las versiones 16.7.2, 16.6.4 y 16.5.6.

Detalle

Las vulnerabilidades de severidad crĂ­tica cuentan con la siguiente descripciĂłn:

  • Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones de 16.1, anterior a 16.1.6, 16.2, anterior a 16.2.9, 16.3 anterior a 16.3.7, 16.4 anterior a 16.4.5, 16.5 anterior a 16.5.6, 16.6 anterior a 16.6.4 y 16.7 anterior a 16.7.2 en el que los correos electrĂłnicos de restablecimiento de contraseña de cuenta de usuario podrĂ­an enviarse a una direcciĂłn de correo electrĂłnico no verificada. Se ha asignado el identificador CVE-2023-7028 para esta vulnerabilidad.
  • Las comprobaciones de autorizaciĂłn incorrectas en GitLab CE/EE de todas las versiones, a partir de la 8.13, antes de la 16.5.6, todas las versiones a partir de la 16.6 antes de la 16.6.4, y todas las versiones a partir de la 16.7, antes de la 16.7.2, permiten a un usuario abusar de las integraciones Slack/Mattermost para ejecutar comandos de barra como otro usuario. Se ha asignado el identificador CVE-2023-5356 para esta vulnerabilidad.

La informaciĂłn del resto de CVE de severidad no crĂ­tica se puede consultar en las referencias.

Listado de referencias
GitLab Critical Security Release: 16.7.2, 16.6.4, 16.5.6

Etiquetas

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.