GitLab segnala grave falla di esecuzione arbitraria della pipeline

GitLab ha rilasciato aggiornamenti di sicurezza per risolvere diversi difetti in Community Edition (CE) ed Enterprise Edition (EE). Tra questi vi è un difetto critico di esecuzione della pipeline di branch arbitrario. La vulnerabilità, che è tracciata come CVE-2024-9164, consente agli utenti non autorizzati di attivare pipeline di integrazione continua/consegna continua (CI/CD) su qualsiasi branch di un repository. Le pipeline CI/CD sono processi automatizzati che eseguono diverse attività. Queste includono, ad esempio, la creazione, il test e la distribuzione di codice, normalmente disponibili solo agli utenti con autorizzazioni appropriate.

Un aggressore in grado di aggirare le protezioni dei branch potrebbe potenzialmente eseguire codice o ottenere l’accesso a informazioni sensibili. Il problema ha ricevuto una valutazione CVSS v3.1 di 9,6, ed è stato classificato come critico. Inoltre, ha un impatto su tutte le versioni di GitLab EE a partire dalla 12.5 fino alla 17.2.8, dalla 17.3 fino alla 17.3.4 e dalla 17.4 fino alla 17.4.1. Le patch sono state rese disponibili nelle versioni 17.4.2, 17.3.5 e 17.2.9, che sono gli obiettivi di aggiornamento per gli utenti GitLab. Come riportato dall’azienda sul proprio sito web: "Raccomandiamo vivamente che tutte le installazioni che eseguono una versione interessata dai problemi descritti di seguito vengano aggiornate alla versione più recente il prima possibile". Secondo quanto appreso, i clienti GitLab Dedicated non devono intraprendere alcuna azione, poiché le loro istanze ospitate nel cloud eseguono sempre l'ultima versione disponibile.

GitLab: le altre vulnerabilità corrette negli ultimi aggiornamenti

Le ultime release di GitLab affrontano anche altri problemi di sicurezza. Vi è ad esempio CVE-2024-8970, difetto di impersonificazione utente arbitrario di gravità elevata che consente agli aggressori di attivare pipeline come un altro utente. È stato risolto il bug CVE-2024-8977, difetto SSRF di gravità elevata nella dashboard di Analytics, che rende le istanze vulnerabili agli attacchi SSRF. Altra vulnerabilità risolta è CVE-2024-9631, difetto di gravità elevata che causa prestazioni lente durante la visualizzazione di diff di richieste di unione con conflitti. L’aggiornamento risolve CVE-2024-6530, vulnerabilità di iniezione HTML di gravità elevata nella pagina OAuth che consente lo scripting tra siti durante l'autorizzazione OAuth. Infine, GitLab ha corretto le vulnerabilità CVE-2024-9623, CVE-2024-5005 e CVE-2024-9596. Si tratta di difetti di gravità medio-bassa, tra cui distribuzione di chiavi push su repository archiviati, utenti guest che divulgano modelli di progetto tramite API e divulgazione della versione dell'istanza GitLab a utenti non autorizzati.

Le pipeline di GitLab hanno dimostrato ultimamente di essere una fonte costante di vulnerabilità di sicurezza per la piattaforma e i suoi utenti. L’azienda ha affrontato vulnerabilità di esecuzione arbitraria delle pipeline più volte quest'anno, tra cui CVE-2024-6678 il mese scorso, CVE-2024-6385 a luglio e CVE-2024-5655 a giugno. Tutte sono state classificate come critiche.