Vulnerabilidad en Community Edition (CE) y Enterprise Edition (EE) de GitLab

Fecha de publicación 08/05/2023
Importancia
5 - Crítica
Recursos Afectados

Todas las versiones de Community Edition (CE) y Enterprise Edition (EE):

  • desde la 15.4 hasta la 15.9.7,
  • desde la 15.10 hasta la 15.10.6,
  • desde la 15.11 hasta la 15.11.2.
Descripción

El investigador yvvdwf ha informado de una vulnerabilidad de severidad crítica que podría permitir adjuntar un archivo malicioso a cualquier proyecto.

Solución

Actualizar a las últimas versiones 15.11.2, 15.10.6 y 15.9.7.

Detalle

La vulnerabilidad detectada podría permitir a un atacante, desde cualquier cuenta de GitLab, bajo ciertas circunstancias, utilizar un endpoint en una instancia GraphQL y adjuntar un archivo ejecutable malicioso a cualquier proyecto de esta. Se ha asignado el identificador CVE-2023-2478 para esta vulnerabilidad.