La vulnerabilidad "GerriScary" en Gerrit expuso el riesgo de integridad del código en proyectos clave de Google

Un desarrollador navega por complejos flujos de trabajo de código fuente, en los que la desconfiguración de permisos y la automatización pueden introducir riesgos silenciosos como la vulnerabilidad GerriScary revelada en los proyectos basados en Gerrit

El error de configuración en el sistema de revisión de código abierto de Google permitió revisiones de código no autorizadas en al menos 18 proyectos, lo que provocó actualizaciones de seguridad y advertencias más amplias para los usuarios de Gerrit.

Louise Burke (traducido por Ninh Duy), Publicado 06/29/2025 🇺🇸 🇫🇷 ...

Una vulnerabilidad recientemente revelada en Gerrit, el sistema de revisión de código de fuente abierta utilizado por Google y otros, puede haber expuesto una vía para la introducción de código no autorizado en proyectos de software críticos sin procesos de aprobación estándar. Investigadores de seguridad de Tenable revelaron que el fallo provenía de una mala configuración de los permisos y de la lógica de las etiquetas de revisión. En determinadas configuraciones, los atacantes podían explotar una función conocida como "addPatchSet" para modificar cambios ya aprobados, introduciendo potencialmente código malicioso sin desencadenar una nueva revisión.

Un informe separado de CybersecurityAsia.net confirmó que los atacantes podían eludir las etapas de revisión manual y utilizar herramientas automatizadas para insertar código no autorizado sin interacción del usuario.

Al menos 18 repositorios de alto perfil fueron identificados como vulnerables, incluyendo proyectos vinculados a Chromium, Dart, Bazel y otros componentes de infraestructura. El problema también implicaba una condición de carrera en el proceso de envío automatizado, lo que permitía a los atacantes actuar dentro de una breve ventana antes de que se fusionara el código.

En el momento de la divulgación, no se había observado ninguna explotación confirmada de la vulnerabilidad in the wild. Tenable realizó pruebas responsables utilizando código benigno y no intentó una explotación completa de extremo a extremo de la vulnerabilidad.

Desde entonces, Google ha implementado cambios en la configuración para mitigar el problema. Mientras tanto, Tenable ha advertido de que otros proyectos de código abierto que utilicen Gerrit deberían revisar sus configuraciones, ya que pueden existir ajustes similares en otros lugares, y recomienda que todos los usuarios de Gerrit auditen las reglas de permisos y las políticas de persistencia de etiquetas para garantizar la integridad del código. Las configuraciones erróneas subyacentes pueden afectar también a otras organizaciones que utilicen Gerrit, en particular cuando existan configuraciones de permisos por defecto y procesos automatizados de envío de código. Este incidente subraya la importancia permanente de los entornos de desarrollo seguros en el ecosistema de código abierto.