Fecha de publicación: 15/02/2023
Importancia:
Crítica
Recursos afectados:
Las vulnerabilidades reportadas afectan a todas las versiones de GitLab Omnibus comprendidas entre los siguientes rangos:
- versiones desde 14.1, hasta 15.6.7;
- versiones desde 15.7, hasta 15.7.7;
- versiones desde 15.8, hasta 15.8.2.
Descripción:
Joern Schneeweisz, de GitLab (CVE-2023-23946), y Yvvdwf (CVE-2023-22490), han reportado 2 vulnerabilidades de severidad media, que podrían permitir a un atacante ejecutar comandos arbitrarios y obtener información sensible.
Solución:
GitLab recomienda actualizar a las versiones 15.8.2, 15.7.7, y 15.6.8.
Detalle:
- Existe una vulnerabilidad crítica, por la que un usuario podría introducir una entrada especialmente diseñada para que Git sobrescriba una ruta determinada fuera del árbol de trabajo. La explotación de esta vulnerabilidad podría permitir a un atacante ejecutar comandos arbitrarios en instalaciones de GitLab dentro del entorno Gitaly. Se ha asignado el identificador CVE-2023-23946 para esta vulnerabilidad.
- Un atacante, utilizando un repositorio especialmente diseñado para ello, podría engañar a Git para utilizar su optimización de clon local con el objetivo de incluir archivos arbitrarios en rutas conocidas en el sistema de archivos de la víctima. La explotación de esta vulnerabilidad crítica, podría permitir al atacante obtener información sensible. Se ha asignado el identificador CVE-2023-22490 para esta vulnerabilidad.
Etiquetas:
Actualización, Comunicaciones, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.