È stata identificata una vulnerabilità in GitLab CE/EE, influendo su tutte le versioni da 16.0 a 16.5.8, 16.6 a 16.6.6, 16.7 a 16.7.4, e 16.8 a 16.8.1. Questo difetto consente agli utenti autenticati di scrivere file in qualsiasi posizione sul server GitLab durante il processo di creazione di uno spazio di lavoro.
Monitorato come CVE-2024-0402, la vulnerabilità è elevata Punteggio CVSS di 9.9 su 10, sottolineandone la gravità.
CVE-2024-0402: Breve Panoramica tecnica
Il problema identificato riguarda le versioni GitLab CE/EE da 16.0 a 16.5.8, 16.6 a 16.6.6, 16.7 a 16.7.4, e 16.8 a 16.8.1. Consente agli utenti autenticati di scrivere file in posizioni arbitrarie sul server GitLab durante la creazione dello spazio di lavoro. GitLab ha prontamente risolto il problema con le patch, backport alle versioni 16.5.8, 16.6.6, 16.7.4, e 16.8.1.
Oltre a correggere il difetto critico, GitLab ha affrontato quattro vulnerabilità di media gravità nell'ultimo aggiornamento. Queste includono vulnerabilità che potrebbero portare alla negazione del servizio delle espressioni regolari (ReDoS), Iniezione HTML, e la divulgazione involontaria dell'indirizzo e-mail pubblico di un utente tramite il feed RSS dei tag.
Questo uscita segue un precedente aggiornamento di GitLab due settimane fa, dove la piattaforma DevSecOps ha risolto due carenze critiche, uno dei quali potrebbe essere sfruttato per assumere il controllo degli account senza alcuna interazione da parte dell'utente (CVE-2023-7028, Punteggio CVSS: 10.0).
CVE-2023-7028 è stato segnalato dal ricercatore di sicurezza "Asterion’ attraverso la piattaforma bug bounty di HackerOne. È stato introdotto a maggio 1, 2023, con versione 16.1.0, interessando varie versioni, compresi quelli precedenti 16.7.2. GitLab consiglia vivamente agli utenti di aggiornare alle versioni con patch (16.7.2, 16.5.6, e 16.6.4) o implementare la correzione, che è stato sottoposto a backport nelle versioni 16.1.6, 16.2.9, e 16.3.7.
Per mitigare i rischi potenziali, si consiglia vivamente agli utenti di aggiornare tempestivamente le proprie installazioni GitLab alla versione con patch. È interessante notare che gli ambienti GitLab.com e GitLab Dedicated eseguono già la versione più recente, sottolineando l’importanza di mantenere aggiornato il software per migliorare le misure di sicurezza e proteggersi dalle minacce emergenti.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: