Múltiples vulnerabilidades en GitLab
Jue, 13/03/2025 – 10:34
Recursos Afectados
Las vulnerabilidades de severidad crítica, identificadas en la biblioteca ruby-saml que GitLab utiliza cuando la autenticación SAML SSO está activada, afecta a las siguientes versiones de GitLab:
- versiones anteriores a 17.7.7;
- versiones anteriores a 17.8.5;
- versiones anteriores a 17.9.2.
Descripción
Varios investigadores han reportado 9 vulnerabilidades: 2 de severidad crítica, una de severidad alta, 4 de severidad media, y 2 de severidad baja, cuya explotación podría dar lugar a una omisión de la autenticación, ejecución remota de código, denegación de servicio y exposición de información confidencial.
Identificador
INCIBE-2025-0138
5 – Crítica
Solución
GitLab ha corregido las vulnerabilidades reportadas, y recomienda a los usuarios actualizar a la última versión disponible de GitLab.
Los clientes afectados que no puedan actualizar inmediatamente GitLab para solucionar estos problemas, pueden optar por implementar las medidas de mitigación incluidas en las referencias de este aviso.
Detalle
En las instancias CE/EE de GitLab que utilizan autenticación SAML, en determinadas circunstancias, un atacante con acceso a un documento SAML válido firmado desde el IdP podría autenticarse como otro usuario válido dentro del IdP SAML del entorno.
Se han asignado los identificadores CVE-2025-25291 y CVE-2025-25292 para esta vulnerabilidad.
El detalle del resto de vulnerabilidades de severidad no crítica, se puede consultar en el aviso de las referencias.
Listado de referencias
GitLab Critical Patch Release: 17.9.2, 17.8.5, 17.7.7
omniauth-saml has dependency on ruby-saml version with Signature Wrapping Attack issue
Etiquetas
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.