Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en GitLab EE (CVE-2023-6736)
  Severidad: Pendiente de análisis
  Fecha de publicación: 07/02/2024
  Fecha de última actualización: 04/03/2024
  Se descubrió un problema en GitLab EE que afecta a todas las versiones desde 11.3 anteriores a 16.6.7, todas las versiones desde 16.7 anteriores a 16.7.5, todas las versiones desde 16.8 anteriores a 16.8.2. Era posible que un atacante provocara una denegación de servicio del lado del cliente utilizando contenido manipulado maliciosamente en el archivo CODEOWNERS.
  
• Vulnerabilidad en GitLab EE (CVE-2023-6477)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/02/2024
  Fecha de última actualización: 04/03/2024
  Se descubrió un problema en GitLab EE que afecta a todas las versiones desde 16.5 anteriores a 16.7.6, todas las versiones desde 16.8 anteriores a 16.8.3, todas las versiones desde 16.9 anteriores a 16.9.1. Cuando a un usuario se le asigna una función personalizada con permiso admin_group_member, es posible que pueda convertir un grupo, otros miembros o ellos mismos en propietarios de ese grupo, lo que puede llevar a una escalada de privilegios.
  
• Vulnerabilidad en GitLab (CVE-2024-0410)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/02/2024
  Fecha de última actualización: 04/03/2024
  Se descubrió una vulnerabilidad de omisión de autorización en GitLab que afecta a las versiones 15.1 anteriores a 16.7.6, 16.8 anteriores a 16.8.3 y 16.9 anteriores a 16.9.1. Un desarrollador podría eludir las aprobaciones de CODEOWNERS creando un conflicto de fusión.
  
• Vulnerabilidad en GitLab EE (CVE-2024-0861)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/02/2024
  Fecha de última actualización: 04/03/2024
  Se ha descubierto un problema en GitLab EE que afecta a todas las versiones desde 16.4 anteriores a 16.7.6, todas las versiones desde 16.8 anteriores a 16.8.3, todas las versiones desde 16.9 anteriores a 16.9.1. Los usuarios con el rol "Invitado" pueden cambiar la configuración de "Proyectos de panel personalizados" en contra de los permisos.
  
• Vulnerabilidad en GitLab CE/EE (CVE-2024-1451)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/02/2024
  Fecha de última actualización: 04/03/2024
  Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 16.9 hasta la 16.9.1. un payload manipulado y agregado a la página de perfil del usuario podría generar un XSS almacenado en el lado del cliente, lo que permitiría a los atacantes realizar acciones arbitrarias en nombre de las víctimas".
  
• Vulnerabilidad en GitLab CE/EE (CVE-2024-1525)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/02/2024
  Fecha de última actualización: 04/03/2024
  Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde 16.1 anteriores a 16.7.6, todas las versiones desde 16.8 anteriores a 16.8.3, todas las versiones desde 16.9 anteriores a 16.9.1. En algunas condiciones especializadas, un usuario de LDAP puede restablecer su contraseña utilizando su dirección de correo electrónico secundaria verificada e iniciar sesión mediante autenticación directa con la contraseña restablecida, sin pasar por LDAP.
  
• Vulnerabilidad en GitLab EE (CVE-2023-4895)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/02/2024
  Fecha de última actualización: 04/03/2024
  Se descubrió un problema en GitLab EE que afecta a todas las versiones desde 12.0 a 16.7.6, todas las versiones desde 16.8 anteriores a 16.8.3, todas las versiones desde 16.9 anteriores a 16.9.1. Esta vulnerabilidad permite omitir la configuración de 'restricción de IP de grupo' para acceder a los detalles del entorno de los proyectos.