1. Avisos de seguridad
  2. Vulnerabilidad crítica en GitLab permitiría a atacantes remotos tomar control de las cuentas de usuarios utilizando contraseñas codificadas
Fecha de publicación: Mar, 05/04/2022 - 13:18

Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

El 31 de marzo, GitLab emitió oficialmente un aviso de seguridad para corregir una vulnerabilidad (CVE-2022-1162) en Community Edition (CE) y Enterprise Edition (EE), con una puntuación CVSS de 9,1. Esta falla está relacionada con el conjunto de contraseñas estáticas codificadas durante el registro basado en OmniAuth en GitLab CE/EE. La empresa no tiene conocimiento de cuentas comprometidas al explotar esta vulnerabilidad.

Recursos afectados

Versiones afectadas
Gitlab CE/EE 14.7 anterior a 14.7.7
Gitlab CE/EE 14.8 anterior a 14.8.5
Gitlab CE/EE 14.9 anterior a 14.9.2
 

Solución

El error se solucionó en las versiones 14.9.2, 14.8.5 y 14.7.7 para GitLab Community Edition (CE) y Enterprise Edition (EE). La compañía también anunció el restablecimiento de la contraseña de un número no especificado de usuarios como medida de precaución.

Recomendaciones

Actualizar GitLab a la versión más reciente que solucione la vulnerabilidad.

Referencias

Versión de seguridad crítica de GitLab