top of page

Esta falla de seguridad en GitLab permite a los piratas informáticos tomar el control de las cuentas de los usuarios

GitLab ha corregido un fallo de seguridad importante en el editor de código web IDE presente en GitLab Community Edition (CE) y Enterprise Edition (EE). Echemos un vistazo a esta amenaza.

La falla de seguridad de 1 clic "CVE-2024-4835" parcheada por los desarrolladores de GitLab podría permitir a un atacante robar información confidencial y, por lo tanto, tomar el control de la cuenta de un usuario.

​

"Toma de control con un clic de una cuenta a través de XSS usando el editor de código VS (Web IDE)", así es como se describe esta vulnerabilidad en el sitio web de GitLab.

​

Para lograr su objetivo y aprovechar esta debilidad similar a XSS, el atacante debe atraer al usuario objetivo a una página maliciosa. "Al aprovechar esta vulnerabilidad, un atacante puede crear una página maliciosa para exfiltrar información confidencial del usuario", se lee en el Boletín de seguridad de GitLab.

​

Comprometer una cuenta de GitLab puede ser muy interesante para que los atacantes obtengan acceso al código fuente, roben información confidencial (secretos, claves API, etc.) e incluso implementen un ataque a la cadena de suministro.

​

CVE-2024-4835 no es la única vulnerabilidad parcheada por GitLab en las nuevas versiones de sus aplicaciones. En total, se han solucionado no menos de 7 fallos de seguridad, pero el mencionado en este artículo es el más peligroso.

¿Cómo protegerse?

​

Para protegerse de estas vulnerabilidades, debe instalar una de las versiones publicadas por GitLab, a saber, GitLab Community Edition (CE) y GitLab Enterprise Edition (EE) versiones 17.0.1, 16.11.3 y 16.10.6. Es decir, las versiones 15.11 antes de 16.10.6, 16.11 antes de 16.11.3 y 17.0 antes de 17.0.1 se ven afectadas.

​

"Estas versiones contienen importantes correcciones de errores y seguridad, y recomendamos encarecidamente que todas las instalaciones de GitLab se actualicen a una de estas versiones de inmediato. GitLab.com ya está usando la versión parcheada", se lee en el sitio web oficial.

A principios de 2024, el Vulnerabilidad de seguridad crítica CVE-2023-7028 también se ha corregido en GitLab.

bottom of page