Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

GitLab rilascia una patch in emergenza per una vulnerabilità con score 10 di Path Traversal

Redazione RHC : 25 Maggio 2023 18:42

Gli sviluppatori di GitLab hanno rilasciato un aggiornamento di sicurezza in emergenza per la versione 16.0.1 che risolve un problema critico che ha ottenuto un punteggio di 10 su 10 nella scala di valutazione della vulnerabilità CVSS. 

Lo sfruttamento del CVE-2023-2825 può comportare la divulgazione di dati sensibili, inclusi codice software proprietario, credenziali utente, token, file e così via.

Il bug è stato scoperto dal ricercatore pwnie che ha segnalato il problema tramite il programma di bug bounty HackerOne.

Supporta Red Hot Cyber attraverso

È stato segnalato che il problema interessa GitLab Community Edition (CE) ed Enterprise Edition (EE) versione 16.0.0, ma non riguarda le versioni precedenti. 

La vulnerabilità è un path traversal e consente a un utente malintenzionato non autenticato di leggere file arbitrari sul server se è presente un allegato in un progetto pubblico nidificato in almeno cinque gruppi.

Sebbene i dettagli sul problema siano ancora scarsi, sembra essere correlato al modo in cui GitLab gestisce o risolve i percorsi per i file nidificati in diversi livelli della gerarchia di gruppo. Detto questo, sembra che la vulnerabilità possa essere attivata solo in determinate condizioni (incorporamento in un progetto pubblico nidificato), che non risultano essere utilizzate in tutti i progetti GitHub.

Gli sviluppatori di GitLab sottolineano che, a causa della gravità della vulnerabilità, l’ultimo aggiornamento alla versione 16.0.1 deve essere applicato immediatamente. Maggiori dettagli sul bug non verranno pubblicati fino al prossimo mese, dopo che saranno trascorsi 30 giorni dal rilascio della patch.

“Raccomandiamo vivamente che tutte le installazioni che eseguono una versione interessata dai problemi descritti vengano aggiornate all’ultima versione il prima possibile”, si legge nel bollettino ufficiale sulla sicurezza .

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009