Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en GitLab y Ruby

Múltiples vulnerabilidades en GitLab y Ruby

Fecha de publicación: 
15/04/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • GitLab Community Edition (CE)/Enterprise Edition (EE), versión 11.9 y posteriores.
  • Ruby, versiones:
    • 2.5.8 o anteriores,
    • 2.6.7 o anteriores,
    • 2.7.2 o anteriores,
    • 3.0.1 o anteriores.
  • REXML gem, versión 3.2.4 o anteriores.
Descripción: 

Los investigadores, vakzz y Juho Nurminen, ambos a través del programa de bug bounty de HackerOne, han detectado 2 vulnerabilidades críticas que afectan a GitLab y REXML, de tipo ejecución remota de código (RCE) y conversión de documentos XML, respectivamente.

Solución: 

Actualizar a:

Detalle: 
  • Se ha descubierto una vulnerabilidad en GitLab CE/EE por la que no se validaban correctamente los archivos de imagen que se pasaban a un analizador de archivos, lo que daba lugar a la ejecución remota de comandos.
  • Al parsear y serializar un documento XML especialmente diseñado, REXML gem (también el que se incluye con Ruby) puede crear un documento XML erróneo cuya estructura es diferente a la original. Se ha asignado el identificador CVE-2021-28965 para esta vulnerabilidad.

Encuesta valoración