GitLab corrige vulnerabilidades serias – cert -se

GitLab ha emitido actualizaciones de seguridad en respuesta a varias vulnerabilidades críticas identificadas en la edición comunitaria (CE) y la edición empresarial (EE) de su software. Las vulnerabilidades, catalogadas bajo los identificadores CVE-2025-25291 y CVE-2025-25292, tienen una clasificación de gravedad del Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) de 8.8, lo que indica su alta peligrosidad.

Ambas vulnerabilidades se localizan en la biblioteca Ruby-SAML, que se utiliza para la autenticación SAML Single Sign-On (SSO) a nivel de instancia o grupo. El aprovechamiento exitoso de estas vulnerabilidades permitiría a un atacante autenticado que tenga acceso a un documento SAML firmado válido, hacerse pasar por otro usuario dentro del mismo entorno del proveedor de identidad SAML (IDP). Esto podría permitir que el atacante obtenga acceso no autorizado a la cuenta de otro usuario, lo que desencadena una serie de riesgos de seguridad, incluidas las violaciones de datos y la escalada de privilegios.

En respuesta a estas amenazas, GitLab ha lanzado actualizaciones que corrigen estas vulnerabilidades, instando a los usuarios a actualizar rápidamente sus sistemas para mitigar el riesgo. Específicamente, todas las versiones de GitLab Community Edition y Enterprise Edition anteriores a 17.7.7, 17.8.5 y 17.9.2 son vulnerables.

El CERT-SE (Centro de Respuesta a Incidentes de Seguridad) recomienda que los usuarios instalen estas actualizaciones de seguridad de inmediato. En caso de que la instalación de estas actualizaciones no sea viable, se señala la importancia de implementar medidas de mitigación inmediatamente. También sugieren que se realice un análisis de los registros para investigar cualquier posible violación de seguridad que hubiera ocurrido a causa de estas vulnerabilidades.

Para aquellos interesados en más detalles sobre las vulnerabilidades y las actualizaciones, GitLab ha proporcionado información en sus notas de lanzamiento, además de referencias adicionales a los registros CVE para obtener más contexto sobre la naturaleza y el impacto de estas vulnerabilidades.

En resumen, la existencia de estas vulnerabilidades en la biblioteca Ruby-SAML utilizada por GitLab resalta la importancia de mantener los sistemas actualizados y aplicar de inmediato parches de seguridad. La acción rápida es crucial para proteger las cuentas de usuario y los datos en el entorno de GitLab, dado el potencial de acceso no autorizado derivado de estas vulnerabilidades.

Enlace de la fuente, haz clic para tener más información

Artículos y alertas de seguridad

Consultar más contenidos y alertas

Alertas y noticias de seguridad de la información

Microsoft Patchetier Day Marzo 2025 – Autoridad de Seguridad Nacional

El Centro Nacional de Seguridad Cibernética (NCSC) ha identificado tres vulnerabilidades críticas que afectan a los sistemas de escritorio remoto de Windows, las cuales pueden

...
Más detalle de la noticia

Adobe Security Advisory (AV25–131) – Centro canadiense de seguridad cibernética

El 11 de marzo de 2025, Adobe lanzó una serie de avisos de seguridad destinados a mitigar diversas vulnerabilidades en varios de sus productos. Estas

...
Más detalle de la noticia

Optigo Networks Visual Bacnet Capture Tool/Optigo Visual Networks Herramienta de captura

Resumen Ejecutivo El presente documento informa sobre vulnerabilidades críticas en las herramientas de Optigo Networks, específicamente en la herramienta Visual BACNET Capture y la herramienta

...
Más detalle de la noticia

Vulnerabilidades múltiples en productos Siemens

Recientemente se han identificado diversas vulnerabilidades en productos de la empresa Siemens, lo que ha suscitado una gran preocupación en la comunidad de ciberseguridad. Las

...
Más detalle de la noticia

(Sistemas de control) Schneider Electric Security Advisory (AV25-125)

El 11 de marzo de 2025, Schneider Electric emitió una serie de avisos destinados a abordar vulnerabilidades identificadas en varios de sus productos. Este aviso

...
Más detalle de la noticia

Informe de amenazas e incidentes – cert -FR

In the fourth edition of its Cyber Threat Overview, the French Cybersecurity Agency (ANSSI) highlights significant cybersecurity threats and incidents that emerged in 2024. The

...
Más detalle de la noticia

Vulnerabilidades múltiples del núcleo de Redhat Linux

Se han identificado diversas vulnerabilidades en el kernel de Redhat Linux que podrían ser explotadas por atacantes remotos para provocar condiciones de denegación de servicio,

...
Más detalle de la noticia

Alerta de seguridad (A25-03-09): Vulnerabilidad en Apache Tomcat

La Apache Software Foundation ha lanzado actualizaciones de seguridad para remediar una vulnerabilidad significativa en su software Apache Tomcat. Esta falla puede ser explotada por

...
Más detalle de la noticia

Apache Tomcat: Potencial RCE y/o divulgación de información y/o corrupción de información con PUT parcial

Clasificación y Detalles de Vulnerabilidad de CVE-2025-24813 Clasificación: Importante Solución: Solución oficial disponible Vencimiento de explotación: No definido CVSS V3.1: Ninguno asignado CVE: CVE-2025-24813 Resumen

...
Más detalle de la noticia

El sector crítico suizo enfrenta una nueva regla de informes cibernéticos de 24 horas

El Centro Nacional de Ciberseguridad (NCSC) de Suiza ha implementado una nueva obligación de informes dirigida a organizaciones críticas de infraestructura, exigiendo que informen sobre

...
Más detalle de la noticia

(Sistemas de control) Aviso de seguridad MOXA (AV25-122)

El 6 de marzo de 2025, Moxa lanzó un aviso de seguridad para alertar sobre una vulnerabilidad crítica que afecta a varios de sus productos.

...
Más detalle de la noticia

CISA agrega cinco vulnerabilidades explotadas conocidas al catálogo

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha ampliado su Catálogo de Vulnerabilidades Explotadas Conocidas (CVE) al incorporar cinco nuevas

...
Más detalle de la noticia

Vulnerabilidades múltiples en productos QNAP

Resumen de vulnerabilidades en productos QNAP Recientemente, se han identificado diversas vulnerabilidades en los productos de QNAP, una empresa conocida por sus soluciones de almacenamiento

...
Más detalle de la noticia

Tendencias que forman una falta de habilidad en seguridad cibernética para 2025.

Hacke la caja (HTB) ha identificado las principales tendencias que están moldeando las deficiencias de habilidades en el campo de la seguridad cibernética, anticipándose a

...
Más detalle de la noticia

IBM Security Advisory (AV25-119) – Centro canadiense de seguridad cibernética

Entre el 3 y el 9 de marzo de 2025, IBM emitió una serie de avisos de seguridad, destacando actualizaciones críticas para varias de sus

...
Más detalle de la noticia
Contacta

Contacta con nosotros para obtener soluciones integrales en IT y seguridad de la información

Estamos encantados de responder cualquier pregunta que puedas tener, y ayudarte a determinar cuáles de nuestros servicios se adaptan mejor a tus necesidades.

Llámanos: Pulsa aquí
Nuestros beneficios:
  • Orientación a cliente
  • Independencia de proveedores
  • Competencias contrastadas y certificadas
  • Orientación a resultados (KPIs)
  • Resolución de problemas
  • Transparencia
¿Qué sucede a continuación?
1

Programamos una llamada según tu conveniencia.

2

Realizamos una reunión de descubrimiento y consultoría.

3

Preparamos una propuesta.

Agenda una consulta gratuita