9VSA21-00359-01 CSIRT comparte mitigaciones obtenidas de GitLab
CSIRT comparte la información entregada por GitLab sobre dos vulnerabilidades que afectan a GitLab Community Edition y GitLab Enterprise Edition.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por GitLab sobre dos vulnerabilidades que afectan a GitLab Community Edition y GitLab Enterprise Edition.
Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.
Vulnerabilidades
CVE-2021-22166
CVE-2020-26414
Impacto
Debido a un error al procesar las solicitudes de autenticación, un atacante remoto puede robar el token de acceso del usuario a la API a través de GitLab Pages, evadiendo el proceso de autenticación y ganando acceso no autorizado a la aplicación.
Asimismo, un atacante también puede provocar una denegación de servicio al enviar una solicitud HTTP con un método malformado en Prometeus.
Productos afectados
GitLab Community Edition: Versiones de la 11.5.0 a la 13.7.1.
GitLab Enterprise Edition: Versiones de la 11.5.0. a la 13.7.1.
Mitigación
Instalar las actualizaciones desde el sitio del proveedor.
Enlaces
https://about.gitlab.com/releases/2021/01/07/security-release-gitlab-13-7-2-released/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22166
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26414
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00359-01