SQL Injection en componente MilestoneFinder de Gitlab CE/EE

Clasificada como crítica, esta vulnerabilidad fue encontrada en GitLab Community Edition y Enterprise Edition 10.1/10.2/10.2.4.

Seguramente conozcais GitHub, sistema de control de versiones en git. GitLab es básicamente GitHub en vuestros servidores, con sus ventajas y desventajas. Entre las desventajas podemos destacar mantener al día las actualizaciones de seguridad tanto del servidor como de GitLab.

Una función que aún se desconoce del componente MilestoneFinder es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa unavulnerabilidad de clase SQL Injection. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.

Existe un error en el componente MilestoneFinder que podría ser aprovechado por un atacante remoto para realizar ataques de inyección SQL y afectar a la confidencialidad, la integridad y a la disponibilidad.

No hay información respecto a posibles contramedidas. Se recomienda actualizar a las últimas versiones disponibles.
Mas información

Gitlab CE and EE version 10.1, 10.2, and 10.2.4 are vulnerable to a SQL injection in the MilestoneFinder component.
https://www.cvedetails.com/cve/CVE-2017-0914/

GitLab Security Release: 10.3.4, 10.2.6, and 10.1.6
https://about.gitlab.com/2018/01/16/gitlab-10-dot-3-dot-4-released/

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *