Redazione RHC : 25 Maggio 2023 18:42
Gli sviluppatori di GitLab hanno rilasciato un aggiornamento di sicurezza in emergenza per la versione 16.0.1 che risolve un problema critico che ha ottenuto un punteggio di 10 su 10 nella scala di valutazione della vulnerabilità CVSS.
Lo sfruttamento del CVE-2023-2825 può comportare la divulgazione di dati sensibili, inclusi codice software proprietario, credenziali utente, token, file e così via.
Il bug è stato scoperto dal ricercatore pwnie che ha segnalato il problema tramite il programma di bug bounty HackerOne.
Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AIVuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
È stato segnalato che il problema interessa GitLab Community Edition (CE) ed Enterprise Edition (EE) versione 16.0.0, ma non riguarda le versioni precedenti.
La vulnerabilità è un path traversal e consente a un utente malintenzionato non autenticato di leggere file arbitrari sul server se è presente un allegato in un progetto pubblico nidificato in almeno cinque gruppi.
Sebbene i dettagli sul problema siano ancora scarsi, sembra essere correlato al modo in cui GitLab gestisce o risolve i percorsi per i file nidificati in diversi livelli della gerarchia di gruppo. Detto questo, sembra che la vulnerabilità possa essere attivata solo in determinate condizioni (incorporamento in un progetto pubblico nidificato), che non risultano essere utilizzate in tutti i progetti GitHub.
Gli sviluppatori di GitLab sottolineano che, a causa della gravità della vulnerabilità, l’ultimo aggiornamento alla versione 16.0.1 deve essere applicato immediatamente. Maggiori dettagli sul bug non verranno pubblicati fino al prossimo mese, dopo che saranno trascorsi 30 giorni dal rilascio della patch.
“Raccomandiamo vivamente che tutte le installazioni che eseguono una versione interessata dai problemi descritti vengano aggiornate all’ultima versione il prima possibile”, si legge nel bollettino ufficiale sulla sicurezza .
RedazioneAvevamo già parlato della proposta di regolamento “ChatControl” quasi due anni fa, ma vista la roadmap che è in atto ci troviamo nell’imbarazzo di doverne parlare nuovamente. Sembra però un d...
ShinyHunters è un gruppo noto per il coinvolgimento in diversi attacchi informatici di alto profilo. Formatosi intorno al 2020, il gruppo ha guadagnato notorietà attraverso una serie di attacchi mir...
La notizia è semplice, la tecnologia no. Chat Control (CSAR) nasce per scovare CSAM e dinamiche di grooming dentro le piattaforme di messaggistica. La versione “modernizzata” rinuncia alla backdo...
A cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Fir...
Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
