GitLab rilascia aggiornamenti di sicurezza critici per vulnerabilità elevate

GitLab ha rilasciato aggiornamenti di sicurezza critici per la sua Community Edition (CE) e Enterprise Edition (EE) per correggere diverse vulnerabilità di elevata gravità .

Le patch 18.6.1, 18.5.3 e 18.4.5 appena rilasciate risolvono falle di sicurezza che potrebbero consentire agli aggressori di bypassare l’autenticazione, rubare le credenziali utente o lanciare attacchi denial-of-service (DoS) su server compromessi. Gli esperti di sicurezza e gli amministratori di GitLab sono invitati ad aggiornare immediatamente le proprie istanze self-hosted . GitLab.com ha completato la distribuzione delle patch per proteggere gli utenti.

Rischi di furto di credenziali e crash del sistema

La vulnerabilità più preoccupante di questo aggiornamento è CVE-2024-9183 , un problema di elevata gravità contrassegnato come “race condition” nella cache CI/CD. Questa falla consente a un aggressore autenticato di rubare le credenziali di un utente con privilegi più elevati e un utente malintenzionato potrebbe sfruttare questo intervallo di tempo per assumere il controllo di un account amministratore o eseguire azioni non autorizzate.

Un’altra importante correzione riguarda il CVE-2025-12571 , una pericolosa vulnerabilità DoS. Questa vulnerabilità consente a un aggressore non autenticato (senza nome utente e password) di bloccare un’istanza GitLab inviando una richiesta JSON dannosa, potenzialmente portando offline il repository di codice di un’organizzazione e interrompendo i flussi di lavoro di sviluppo.

Vulnerabilità di bypass dell’autenticazione

L’aggiornamento risolve anche la vulnerabilità CVE-2025-12653, un problema di media gravità: gli utenti non autenticati potevano aggirare i controlli di sicurezza e unirsi a organizzazioni arbitrarie manipolando gli header delle richieste di rete . Sebbene meno grave di una vulnerabilità di crash, questo aggiramento rappresenta un rischio significativo per la privacy e i controlli di accesso delle organizzazioni.

GitLab consiglia vivamente a tutti i clienti che utilizzano le versioni interessate di eseguire immediatamente l’aggiornamento alla versione più recente della patch (18.6.1, 18.5.3 o 18.4.5). Impatto dell’aggiornamento: le istanze a nodo singolo subiranno tempi di inattività a causa della migrazione del database, mentre le istanze multi-nodo possono eseguire un aggiornamento senza tempi di inattività.

Se non vengono aggiornati tempestivamente, gli aggressori possono analizzare le patch disponibili al pubblico e sottoporre a reverse engineering i metodi di sfruttamento delle vulnerabilità, esponendo così continuamente l’istanza a rischi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Massimiliano Brolli

Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Aree di competenza: Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione