Se han descubierto 14 vulnerabilidades críticas en GitLab, incluyendo una que permite la ejecución de pipelines de CI/CD como cualquier usuario. Esta falla afecta a millones de usuarios de GitLab Community Edition (CE) y Enterprise Edition (EE) que no actualicen a las versiones 17.1.1, 17.0.3 o 16.11.5 inmediatamente.
¿Qué tan grave es la situación?
La vulnerabilidad más crítica (CVE-2024-5655) tiene un puntaje CVSS de 9.6, lo que la coloca en la categoría de «explotación crítica». Un atacante podría aprovechar esta falla para ejecutar pipelines de CI/CD con privilegios elevados, lo que podría comprometer la integridad del código fuente, desplegar malware o incluso tomar el control completo de la infraestructura de desarrollo.
¿Qué versiones de GitLab se ven afectadas?
Las siguientes versiones de GitLab CE y EE están afectadas:
- 17.1 anterior a 17.1.1
- 17.0 anterior a 17.0.3
- 15.8 antes del 16.11.5
¿Qué debo hacer?
Actualiza GitLab a la versión más reciente lo antes posible. Puedes encontrar las instrucciones de actualización en la documentación oficial de GitLab: https://about.gitlab.com/releases/2024/01/25/critical-security-release-gitlab-16-8-1-released/
Recomendaciones adicionales:
- Implementa un sistema de autenticación de dos factores (2FA) para todas las cuentas de usuario.
- Realiza auditorías de seguridad regulares en tu instancia de GitLab para detectar y corregir vulnerabilidades potenciales.
- Mantente informado sobre las últimas amenazas de seguridad y actualizaciones de software.
No pongas en riesgo tus proyectos de software. Actualiza GitLab ahora mismo y protege tu código fuente e infraestructura de desarrollo de posibles ataques.