Connect with us

Multilingua

GitLab rilascia patch di sicurezza urgenti per una grave vulnerabilità

GitLab affronta una grave vulnerabilità che permette l’esecuzione di pipeline da parte di utenti arbitrari, sollecitando gli utenti a implementare gli aggiornamenti di sicurezza urgenti.

Published

on

GitLab

GitLab ha recentemente rilasciato delle patch di sicurezza urgenti per risolvere una grave vulnerabilità che permette ad un attaccante di eseguire pipeline come un altro utente. La problematica, identificata con il codice CVE-2023-5009 e con un punteggio di gravità CVSS di 9.6, colpisce tutte le versioni di GitLab Enterprise Edition (EE) a partire dalla 13.12 fino alla 16.2.7, nonché dalla 16.3 fino alla 16.3.4.

Possibilità di esecuzione di pipeline da parte di utenti arbitrari

GitLab ha dichiarato che era possibile per un attaccante “eseguire pipeline come un utente arbitrario attraverso le politiche di scansione di sicurezza pianificate”. Questo rappresenta una bypass della vulnerabilità precedentemente identificata con il codice CVE-2023-3932, mostrando un impatto aggiuntivo. Un’exploitazione riuscita di questa vulnerabilità potrebbe permettere ad un attore minaccioso di accedere a informazioni sensibili o sfruttare i permessi elevati dell’utente impersonato per modificare il codice sorgente o eseguire codice arbitrario sul sistema, portando a conseguenze gravi.

Raccomandazione di aggiornamento urgente

È fortemente raccomandato che gli utenti aggiornino le loro installazioni di GitLab all’ultima versione il prima possibile per proteggersi da potenziali rischi. Il ricercatore di sicurezza Johan Carlsson, noto anche come joaxcar, è stato accreditato per aver scoperto e segnalato la falla. La vulnerabilità CVE-2023-3932 era stata precedentemente affrontata da GitLab all’inizio di agosto 2023.