Sintesi

Rilasciati aggiornamenti di sicurezza che risolvono 2 vulnerabilità, di cui una con gravità “alta” in GitLab Community Edition (CE) e Enterprise Edition (EE). Tale vulnerabilià potrebbe permettere a un utente malintenzionato l’esecuzione di attacchi di tipo Stored Cross-Site Scripting (persistent XSS) attraverso una pagina wiki opportunamente predisposta al fine di eseguire codice arbitrario nel sistema target.

Tipologia

• Arbitrary Code Execution
• Denial of Service

Prodotti e/o versioni affette

GitLab Community Edition (CE) e Enterprise Edition (EE), versioni:

• 16.8.x, versioni precedenti alla 16.8.5
• 16.9.x, versioni dalla 16.9 alla 16.9.2
• 16.10.x, versioni precedenti alla 16.10

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti GitLab alla versione più recente disponibile.

Identificatori univoci vulnerabilità

CVE-2023-6371

CVE-2024-2818

Riferimenti

https://about.gitlab.com/releases/2024/03/27/security-release-gitlab-16-10-1-released/

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.