Facebook Linkedin Youtube Telegram Twitter Pinterest Tumblr Rss Mastodon
Logo Portale Red Hot Cyber

Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora

Red Hot Cyber

GitLab rilascia una patch in emergenza per una vulnerabilità con score 10 di Path Traversal

Gli sviluppatori di GitLab hanno rilasciato un aggiornamento di sicurezza in emergenza per la versione 16.0.1 che risolve un problema critico che ha ottenuto un punteggio di 10 su 10 nella scala di valutazione della vulnerabilità CVSS

Lo sfruttamento del CVE-2023-2825 può comportare la divulgazione di dati sensibili, inclusi codice software proprietario, credenziali utente, token, file e così via.

Il bug è stato scoperto dal ricercatore pwnie che ha segnalato il problema tramite il programma di bug bounty HackerOne.

È stato segnalato che il problema interessa GitLab Community Edition (CE) ed Enterprise Edition (EE) versione 16.0.0, ma non riguarda le versioni precedenti. 

La vulnerabilità è un path traversal e consente a un utente malintenzionato non autenticato di leggere file arbitrari sul server se è presente un allegato in un progetto pubblico nidificato in almeno cinque gruppi.

Iscriviti alla newsletter di RHC per rimanere sempre aggiornato

Sebbene i dettagli sul problema siano ancora scarsi, sembra essere correlato al modo in cui GitLab gestisce o risolve i percorsi per i file nidificati in diversi livelli della gerarchia di gruppo. Detto questo, sembra che la vulnerabilità possa essere attivata solo in determinate condizioni (incorporamento in un progetto pubblico nidificato), che non risultano essere utilizzate in tutti i progetti GitHub.

Gli sviluppatori di GitLab sottolineano che, a causa della gravità della vulnerabilità, l’ultimo aggiornamento alla versione 16.0.1 deve essere applicato immediatamente. Maggiori dettagli sul bug non verranno pubblicati fino al prossimo mese, dopo che saranno trascorsi 30 giorni dal rilascio della patch.

“Raccomandiamo vivamente che tutte le installazioni che eseguono una versione interessata dai problemi descritti vengano aggiornate all’ultima versione il prima possibile”, si legge nel bollettino ufficiale sulla sicurezza .

Iscriviti alla newsletter
Categorie
Banner
Redazione: [email protected]
Facebook Linkedin Youtube Telegram Twitter Pinterest Tumblr
Redhotcyber è un progetto di open-news nato nel 2019, successivamente ampliato in una rete di persone che collaborano alla divulgazione di news e temi incentrati sulla sicurezza informatica, ma anche di tecnologia e informatica in generale, con lo scopo di accrescere i concetti di cybersecurity ad un numero sempre più crescente di persone
Le foto e gli articoli presenti su redhotcyber.com sono stati in parte presi da Internet e quindi ritenuti di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla loro pubblicazione, lo possono segnalare alla redazione che provvederà prontamente alla rimozione dal sito.