Questa vulnerabilità è dovuta a restrizioni improprie su chi può eseguire pipeline in GitLab EE. Consente a utenti non autorizzati di attivare pipeline su branch che non controllano, il che potrebbe comportare l’esecuzione non autorizzata di codice o l’esposizione di dati sensibili. GitLab è ampiamente utilizzato per CI/CD in molte organizzazioni, rendendo questo un problema critico, soprattutto in ambienti di grandi dimensioni. Sebbene al momento non ci siano segnalazioni confermate di sfruttamento attivo, l’alto punteggio CVSS (9.6) indica che potrebbe essere facilmente sfruttata se non corretta. Data la popolarità di GitLab EE, è importante che le organizzazioni interessate intraprendano azioni immediate per mitigare il rischio.
| GitLab |
| 2024-10-18 17:08:33 |
| Trending, Fix Available |
Riassunto tecnico
Una vulnerabilità critica (CVE-2024-9164) in GitLab Enterprise Edition (EE) consente a utenti non autorizzati di eseguire pipeline su branch ai quali non dovrebbero avere accesso. Questo difetto può portare all’esposizione di dati sensibili e alla manipolazione di workflow critici. La vulnerabilità interessa più versioni di GitLab EE e ha un impatto elevato sulla sicurezza, soprattutto in ambienti in cui vengono utilizzate pipeline CI/CD. Il problema è stato risolto nell’ultimo aggiornamento, e le organizzazioni che utilizzano versioni interessate dovrebbero applicare immediatamente la patch per prevenire potenziali abusi.
Raccomandazioni
Aggiornare all’ultima versione (17.2.9, 17.3.5 o 17.4.2) per mitigare questa vulnerabilità.