Allarme GitLab: vulnerabilità ad alta gravità espongono CE ed EE

Un aggiornamento di sicurezza urgente è stato rilasciato da GitLab per le edizioni Community (CE) ed Enterprise (EE), al fine di risolvere alcune vulnerabilità di alta gravità. Queste vulnerabilità espongono le installazioni a possibili attacchi di tipo Denial of Service (DoS) e a tentativi di eludere l’autenticazione. Gli amministratori sono fortemente consigliati di procedere con l’aggiornamento con immediatezza, in quanto le versioni interessate dall’aggiornamento sono la 18.8.2, la 18.7.2 e la 18.6.4.

L’aggiornamento in questione risolve cinque CVE specifici, che includono exploit a livello di API e un astuto metodo per aggirare l’autenticazione a due fattori (2FA). “GitLab ha risolto un problema che avrebbe potuto consentire a un individuo in possesso delle credenziali di una vittima di aggirare l’autenticazione a due fattori inviando risposte di dispositivi falsificate”, spiega l’avviso.

Una delle vulnerabilità più allarmanti presenti nel batch è rappresentata da CVE-2026-0723, un problema relativo a un “valore di ritorno non controllato” che mina la sicurezza dell’utente. Questa falla, con un punteggio CVSS pari a 7,4, risulta essere estremamente pericolosa in quanto inficia il meccanismo di protezione degli account da password compromesse. Le versioni interessate da questa vulnerabilità comprendono tutte quelle dalla 18.6 alla 18.6.4, dalla 18.7 alla 18.7.2 e dalla 18.8 alla 18.8.2.

L’aggiornamento risolve anche diversi altri bug che potrebbero consentire agli aggressori di bloccare le istanze di GitLab:

• Jira Connect (CVE-2025-13927): un utente non autenticato potrebbe innescare un DoS “inviando richieste contraffatte con dati di autenticazione non validi” all’integrazione di Jira Connect.
• API Releases (CVE-2025-13928): una convalida di autorizzazione errata ha consentito agli utenti non autenticati di causare un DoS tramite l’API Releases.
• Wiki Loop (CVE-2025-13335): gli utenti autenticati potrebbero creare “documenti Wiki malformati che aggirano il rilevamento dei cicli”, facendo entrare il sistema in un ciclo infinito.
• Richieste SSH (CVE-2026-1102): un utente non autenticato potrebbe causare un DoS inviando spam di “richieste di autenticazione SSH ripetute e malformate”.

Il messaggio di GitLab è chiaro: “Consigliamo vivamente di aggiornare immediatamente tutte le installazioni autogestite di GitLab a una di queste versioni”.

Per gli amministratori, le versioni di destinazione sono 18.8.2, 18.7.2 e 18.6.4. La mancata applicazione delle patch espone le istanze a una serie di attacchi dannosi e potenziali furti di account.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Massimiliano Brolli

Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Aree di competenza: Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione