Sintesi

Rilasciati aggiornamenti di sicurezza che risolvono 2 vulnerabilità, di cui una con gravità “alta” in GitLab Community Edition (CE) e Enterprise Edition (EE). Tale vulnerabilità potrebbe consentire la possibilità di eludere le restrizioni imposte dai proprietari del codice (CODEOWNERS), tramite la manipolazione di branch di funzionalità obsoleti, attraverso l’utilizzo di payload opportunamente predisposti.

Tipologia

• Security Restrictions Bypass

Prodotti e versioni affette

GitLab Community Edition (CE) e Enterprise Edition (EE), versioni

• dalla 11.3 alla 16.7.7
• dalla 16.7.6 alla 16.8.4
• dalla 16.8.3 alla 16.9.2

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti GitLab alla versione più recente disponibile.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

CVE-2024-0199

Riferimenti

https://about.gitlab.com/releases/2024/03/06/security-release-gitlab-16-9-2-released/ 

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.