Múltiples vulnerabilidades en GitLab

Fecha de publicación 15/02/2023
Importancia
5 - Crítica
Recursos Afectados

Las vulnerabilidades reportadas afectan a todas las versiones de GitLab Omnibus comprendidas entre los siguientes rangos:

  • versiones desde 14.1, hasta 15.6.7;
  • versiones desde 15.7, hasta 15.7.7;
  • versiones desde 15.8, hasta 15.8.2.
Descripción

Joern Schneeweisz, de GitLab (CVE-2023-23946), y Yvvdwf (CVE-2023-22490), han reportado 2 vulnerabilidades de severidad media, que podrían permitir a un atacante ejecutar comandos arbitrarios y obtener información sensible.

Solución

GitLab recomienda actualizar a las versiones 15.8.2, 15.7.7, y 15.6.8.

Detalle
  • Existe una vulnerabilidad crítica, por la que un usuario podría introducir una entrada especialmente diseñada para que Git sobrescriba una ruta determinada fuera del árbol de trabajo. La explotación de esta vulnerabilidad podría permitir a un atacante ejecutar comandos arbitrarios en instalaciones de GitLab dentro del entorno Gitaly. Se ha asignado el identificador CVE-2023-23946 para esta vulnerabilidad.
  • Un atacante, utilizando un repositorio especialmente diseñado para ello, podría engañar a Git para utilizar su optimización de clon local con el objetivo de incluir archivos arbitrarios en rutas conocidas en el sistema de archivos de la víctima. La explotación de esta vulnerabilidad crítica, podría permitir al atacante obtener información sensible. Se ha asignado el identificador CVE-2023-22490 para esta vulnerabilidad.

Encuesta valoración