CSIRT Italia Annuncia la Risoluzione di Vulnerabilità Critiche in GitLab CE/EE

Il CSIRT Italia ha recentemente annunciato la risoluzione di due vulnerabilità critiche che interessavano le edizioni Community (CE) e Enterprise (EE) di GitLab.

Queste vulnerabilità, identificate come gravi, rappresentavano un rischio significativo per la sicurezza delle informazioni e dei dati gestiti tramite questa piattaforma di gestione repository e DevOps.

La prima vulnerabilità, tracciata come CVE-2023-7028, permetteva l'invio di email di reset della password dell'account utente a indirizzi email non verificati. La vulnerabilità presentava un punteggio CVSS di 10, indicando un potenziale di sfruttamento elevato, soprattutto dopo la pubblicazione di una PoC.

La seconda vulnerabilità riguardava una configurazione impropria che poteva permettere agli attaccanti di bypassare restrizioni basate sul dominio su un'istanza o un gruppo, sotto determinate condizioni. Questo problema è stato classificato con una gravità media (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N, 4.3) e ora è mitigato nell'ultima release.

Fonti: CSIRT Italia, GitLab, GitLab,  Kroll