Seguridad

GitLab corrige vulnerabilidad crítica que permite a los piratas informáticos tomar el control de las cuentas

Esta vulnerabilidad fue descubierta por los propios empleados de GitLab y se puede rastrear bajo el código CVE-2022-1162. Afecta tanto a GitLab Community Edition (CE) como a Enterprise Edition (EE).

CVE-2022-1162 proviene de una contraseña estática establecida inadvertidamente durante el registro basado en OmniAuth en GitLab CE/EE.


«Se establecieron contraseñas codificadas para cuentas registradas con proveedores de OmniAuth (por ejemplo, OAuth, LDAP, SAML) en GitLab CE / EE versión 14.7 antes de 14.7.7, 14.8 antes de 14.8.5 y 14.9 antes de 14.9.2 permitidas a los piratas informáticos. control de cuentas”, compartió el equipo de GitLab.

GitLab insta a los usuarios a actualizar de inmediato todas las instalaciones de GitLab a la última versión (14.9.2, 14.8.5 o 14.7.7) para evitar el riesgo de piratería.

Como parte de los esfuerzos de mitigación de CVE-2022-1162, GitLab dijo que restableció las contraseñas de algunos usuarios de GitLab.com. Además, un comité reciente reveló que GitLab eliminó el archivo «lib / gitlab / password. Rb», que se usó para adjuntar una contraseña débilmente codificada al número de línea «TEST_DEFAULT».

GitLab Photo 2 corrige una vulnerabilidad crítica que permite a los piratas informáticos tomar el control de las cuentas

GitLab dice que no ha visto ninguna evidencia de que los piratas informáticos comprometan las cuentas de usuario utilizando esta vulnerabilidad. Sin embargo, GitLab todavía está creando un script que los administradores pueden usar para identificar las cuentas de usuario potencialmente afectadas por CVE-2022-1162. Los detalles de la vulnerabilidad y cómo descargar el script se pueden encontrar aquí.

Una vez que se identifica una cuenta de usuario potencialmente afectada, el administrador debe restablecer la contraseña del usuario.

Más de 100 000 organizaciones utilizan la plataforma DevOps de GitLab y cerca de 30 millones de usuarios de 66 países están registrados en la plataforma.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba
error: Content is protected !!