Vulnerabilidad crítica en GitLab permite ejecución arbitraria de pipelines CI/CD

. Por .

GitLab, la popular plataforma de desarrollo colaborativo, ha lanzado actualizaciones de seguridad para abordar múltiples vulnerabilidades, incluyendo una falla crítica que podría permitir la ejecución de pipelines de Integración Continua y Entrega Continua (CI/CD) en ramas arbitrarias.

Detalles de la vulnerabilidad

La vulnerabilidad, identificada como CVE-2024-9164, tiene una puntuación CVSS de 9.6 sobre 10, lo que la clasifica como crítica. Afecta a todas las versiones de GitLab Enterprise Edition (EE) desde la 12.5 hasta las versiones anteriores a 17.2.9, 17.3.5 y 17.4.2

2.El problema permite a un atacante ejecutar pipelines CI/CD en ramas arbitrarias, lo que podría llevar a la ejecución de código no autorizado y comprometer la integridad del sistema de control de versiones y el proceso de desarrollo.

Otras vulnerabilidades corregidas

Además de la falla crítica, GitLab ha parcheado otras siete vulnerabilidades en esta actualización:

  • CVE-2024-8970 (CVSS 8.2): Permite a un atacante activar un pipeline como otro usuario bajo ciertas circunstancias.
  • CVE-2024-8977 (CVSS 8.2): Posibilita ataques de Server-Side Request Forgery (SSRF) en instancias de GitLab EE con el Panel de Análisis de Producto configurado y habilitado.
  • CVE-2024-9631 (CVSS 7.5): Causa lentitud al visualizar diferencias de solicitudes de fusión con conflictos.
  • CVE-2024-6530 (CVSS 7.3): Resulta en inyección HTML en la página de OAuth al autorizar una nueva aplicación debido a un problema de cross-site scripting.

Contexto histórico

Esta no es la primera vez que GitLab enfrenta vulnerabilidades relacionadas con pipelines. En los últimos meses, la compañía ha abordado varias fallas similares:

  • CVE-2024-6678 (CVSS 9.9): Permitía a un atacante ejecutar trabajos de pipeline como un usuario arbitrario.
  • CVE-2023-5009, CVE-2024-5655 y CVE-2024-6385 (todas con CVSS 9.6): Vulnerabilidades similares relacionadas con la ejecución de pipelines.

Impacto potencial

La explotación exitosa de estas vulnerabilidades podría tener consecuencias graves para las organizaciones que utilizan GitLab, incluyendo:

  • Ejecución de código malicioso en los sistemas de CI/CD
  • Acceso no autorizado a repositorios de código fuente
  • Manipulación de los procesos de desarrollo y despliegue
  • Compromiso de secretos y credenciales almacenados en el sistema

Recomendaciones

Aunque no se ha reportado evidencia de explotación activa de estas vulnerabilidades, se recomienda encarecidamente a los usuarios de GitLab que actualicen sus instancias a la última versión disponible lo antes posible. Las versiones corregidas son:

  • 17.2.9 y posteriores
  • 17.3.5 y posteriores
  • 17.4.2 y posteriores

Además de la actualización, se aconseja a los administradores de sistemas y equipos de seguridad:

  1. Revisar los logs de acceso y actividad en busca de comportamientos sospechosos.
  2. Fortalecer las políticas de control de acceso y autenticación.
  3. Implementar monitoreo adicional en los sistemas de CI/CD.
  4. Realizar auditorías de seguridad en los repositorios y pipelines existentes.

Photo of author

Martin Aberastegue

Especialista en marketing y tecnología por profesión. Actualmente trabajo como Lead SEO & SEA Manager en una startup en Berlin.