Sintesi

Rilasciati aggiornamenti di sicurezza che risolvono 6 vulnerabilità, di cui una con gravità “alta”, in GitLab Community Edition (CE) ed Enterprise Edition (EE). Tale vulnerabilità potrebbe permettere, ad un utente malintezionato avente accesso al Personal Access Token (PAT) della potenziale vittima, di elevare i propri privilegi sui sistemi target.

Tipologia

• Privilege Escalation

Prodotti e/o versioni affette

GitLab Community Edition (CE) ed Enterprise Edition (EE)

• dalla versione 8.12 alla 17.4.5 (esclusa)
• 17.5.x, versioni precedenti alla 17.5.3
• 17.6.x, versioni precedenti alla 17.6.1

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti GitLab alla versione più recente disponibile.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

CVE-2024-8114

Riferimenti

https://about.gitlab.com/releases/2024/11/26/patch-release-gitlab-17-6-1-released/

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.