Esta vulnerabilidad se debe a restricciones inadecuadas sobre quién puede ejecutar canalizaciones (pipelines) en GitLab EE. Permite que usuarios no autorizados activen canalizaciones en ramas que no controlan, lo que podría derivar en la ejecución no autorizada de código o la exposición de datos confidenciales. GitLab es ampliamente utilizado para CI/CD en muchas organizaciones, lo que convierte a este problema en uno crítico, especialmente en entornos de gran escala. Aunque actualmente no hay informes confirmados de explotación activa, la alta puntuación CVSS (9.6) indica que podría ser fácilmente explotada si no se corrige. Dada la popularidad de GitLab EE, es importante que las organizaciones afectadas tomen medidas inmediatas para mitigar el riesgo.
| Producto | GitLab |
| Fecha | 2024-10-18 17:08:33 |
| Información |
|
Resumen técnico
Una vulnerabilidad crítica (CVE-2024-9164) en GitLab Enterprise Edition (EE) permite a usuarios no autorizados ejecutar canalizaciones en ramas a las que no deberían tener acceso. Este defecto puede conducir a la exposición de datos confidenciales y a la manipulación de flujos de trabajo críticos. La vulnerabilidad afecta a múltiples versiones de GitLab EE y tiene un alto impacto en la seguridad, especialmente en entornos donde se utilizan canalizaciones de CI/CD. El problema ha sido resuelto en la última actualización, y las organizaciones que utilizan las versiones afectadas deben aplicar el parche inmediatamente para prevenir posibles abusos.
Recomendaciones
Actualizar a la última versión (17.2.9, 17.3.5 o 17.4.2) para mitigar esta vulnerabilidad.
[Callforaction-THREAT-Footer]