GitLab Risolve Vulnerabilità di Alto Rischio per il Furto di Account

GitLab, la popolare piattaforma DevOps online, ha rilasciato aggiornamenti di sicurezza urgenti sia per la Community Edition (CE) che per l’Enterprise Edition (EE) per affrontare diverse vulnerabilità critiche, incluso il furto di account da parte di attaccanti non autenticati in attacchi di cross-site scripting (XSS).

Vulnerabilità di Alto Rischio per il Furto di Account

La vulnerabilità più grave, CVE-2024-4835 (CVSS 8.0), è una vulnerabilità XSS nell’editor di codice VS (Web IDE) su gitlab.com che consente a un attaccante di creare una pagina malevola per esfiltrare informazioni sensibili degli utenti, potenzialmente portando a un completo furto di account.

Sebbene lo sfruttamento riuscito non richieda alcuna autenticazione, richiede comunque l’interazione dell’utente, il che aumenta la complessità degli attacchi.

Il ricercatore di sicurezza matanber ha scoperto e segnalato il problema a GitLab tramite la piattaforma di bug bounty HackerOne. È stato corretto il 22 maggio 2024, con le versioni 17.0.1, 16.11.3 e 16.10.6.

“Oggi, stiamo rilasciando le versioni 17.0.1, 16.11.3 e 16.10.6 per GitLab Community Edition (CE) e Enterprise Edition (EE),” ha dichiarato GitLab in un comunicato stampa sulla sicurezza mercoledì.

“Queste versioni contengono importanti correzioni di bug e di sicurezza, e raccomandiamo vivamente che tutte le installazioni di GitLab vengano aggiornate a una di queste versioni immediatamente.”

Vulnerabilità Aggiuntive di Media Gravità Risolte

Oltre a quanto sopra, l’azienda ha anche corretto le seguenti sei vulnerabilità di sicurezza di media gravità in GitLab CE/EE elencate di seguito:

• CVE-2024-2874: Questa vulnerabilità di Denial of Service (DoS) nel campo ‘description’ del runner colpisce tutte le versioni di GitLab CE/EE fino a 16.10.6, le versioni 16.11 fino a 16.11.3 e 17.0 fino a 17.0.1. Un runner registrato con una descrizione creata ad arte ha il potenziale di interrompere il caricamento delle risorse web di GitLab mirate.

• CVE-2023-7045: Sfruttando questa vulnerabilità, un attaccante potrebbe esfiltrare token anti-CSRF (Cross-Site Request Forgery) tramite il Kubernetes Agent Server (KAS). Questa vulnerabilità CSRF esiste all’interno di GitLab CE/EE dalle versioni 16.3 fino a 16.10.6, da 16.11 fino a 16.11.3 e da 17.0 fino a 17.0.1.

• CVE-2023-6502: Questa vulnerabilità consente a un attaccante di causare un DoS utilizzando una pagina wiki creata ad arte. Questa condizione di DoS è stata scoperta in GitLab CE/EE che colpisce tutte le versioni precedenti a 16.10.6, la versione 16.11 prima di 16.11.3 e 17.0 prima di 17.0.1.

• CVE-2024-1947: Sfruttando questa vulnerabilità, un attaccante potrebbe creare una condizione di DoS inviando chiamate API create ad arte. Questa condizione di DoS è stata trovata in GitLab CE/EE, che colpisce tutte le versioni da 13.2.4 a 16.10.6, da 16.11 a 16.11.3 e da 17.0 a 17.0.1.

• Una vulnerabilità di autorizzazione nell’API “Set Pipeline Status of a Commit” potrebbe essere sfruttata da un attaccante autenticato utilizzando una convenzione di denominazione creata ad arte per bypassare la logica di autorizzazione della pipeline. È stata trovata all’interno di GitLab dalle versioni 16.10 fino a 16.10.6, 16.11 fino a 16.11.3 e 17.0 fino a 17.0.1. Questa vulnerabilità deve ancora ricevere un ID CVE (Common Vulnerability and Exposure).

• Questa vulnerabilità, che deve ancora ricevere un ID CVE, consente a un utente ospite di visualizzare elenchi di dipendenze di progetti privati tramite artefatti di lavoro. È stata scoperta in GitLab CE/EE che colpisce tutte le versioni a partire da 11.11 prima di 16.10.6, a partire da 16.11 prima di 16.11.3 e a partire da 17.0 prima di 17.0.1.

Per proteggersi dalle vulnerabilità sopra menzionate, si raccomanda vivamente agli utenti di GitLab di aggiornare le loro installazioni a una delle ultime versioni rilasciate, 17.0.1, 16.11.3 e 16.10.6, il prima possibile.