Redazione RHC : 25 Maggio 2023 18:42
Gli sviluppatori di GitLab hanno rilasciato un aggiornamento di sicurezza in emergenza per la versione 16.0.1 che risolve un problema critico che ha ottenuto un punteggio di 10 su 10 nella scala di valutazione della vulnerabilità CVSS.
Lo sfruttamento del CVE-2023-2825 può comportare la divulgazione di dati sensibili, inclusi codice software proprietario, credenziali utente, token, file e così via.
Il bug è stato scoperto dal ricercatore pwnie che ha segnalato il problema tramite il programma di bug bounty HackerOne.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
È stato segnalato che il problema interessa GitLab Community Edition (CE) ed Enterprise Edition (EE) versione 16.0.0, ma non riguarda le versioni precedenti.
La vulnerabilità è un path traversal e consente a un utente malintenzionato non autenticato di leggere file arbitrari sul server se è presente un allegato in un progetto pubblico nidificato in almeno cinque gruppi.
Sebbene i dettagli sul problema siano ancora scarsi, sembra essere correlato al modo in cui GitLab gestisce o risolve i percorsi per i file nidificati in diversi livelli della gerarchia di gruppo. Detto questo, sembra che la vulnerabilità possa essere attivata solo in determinate condizioni (incorporamento in un progetto pubblico nidificato), che non risultano essere utilizzate in tutti i progetti GitHub.
Gli sviluppatori di GitLab sottolineano che, a causa della gravità della vulnerabilità, l’ultimo aggiornamento alla versione 16.0.1 deve essere applicato immediatamente. Maggiori dettagli sul bug non verranno pubblicati fino al prossimo mese, dopo che saranno trascorsi 30 giorni dal rilascio della patch.
“Raccomandiamo vivamente che tutte le installazioni che eseguono una versione interessata dai problemi descritti vengano aggiornate all’ultima versione il prima possibile”, si legge nel bollettino ufficiale sulla sicurezza .
RedazioneSviluppare agenti di intelligenza artificiale in grado di individuare vulnerabilità in sistemi complessi è ancora un compito impegnativo che richiede molto lavoro manuale. Tuttavia, tali age...
L’azienda cinese Kaiwa Technology, con sede a Guangzhou, ha annunciato l’intenzione di creare il primo “utero robotico” al mondo entro il 2026: una macchina umanoide con un...
Uno strumento Microsoft Web Deploy presenta una falla critica di sicurezza, potenzialmente sfruttata da aggressori autenticati per eseguire codice sui sistemi coinvolti. Si tratta del bug monitorato c...
Secondo quanto riportato dai media, le autorità statunitensi starebbero segretamente inserendo dispositivi di localizzazione in lotti di chip che potrebbero essere dirottati illegalmente verso la...
Una nuova campagna malware per Android sta prendendo di mira i clienti bancari in Brasile, India e Sud-est asiatico, combinando frodi contactless NFC, intercettazione delle chiamate e sfruttamento del...
