Alert

AL02/260413/CSIRT-ITA

Sintesi

GitLab ha rilasciato aggiornamenti di sicurezza che risolvono diverse nuove vulnerabilità, di cui 3 con gravità “alta”, in GitLab Community Edition (CE) ed Enterprise Edition (EE). Tra queste, si evidenzia la CVE-2026-5173, per la quale un Proof of Concept (PoC) risulterebbe disponibile in rete.

Tipologia

  • Security Restrictions Bypass
  • Denial of Service

Descrizione e potenziali impatti

Nel dettaglio, la vulnerabilità di tipo “Exposed Dangerous Method”, identificata tramite la CVE-2026-5173, con score CVSS v3.1 pari a 8.5, potrebbe consentire a un potenziale attaccante autenticato, anche con privilegi utente, di richiamare metodi lato server esposti tramite le connessioni WebSocket di GitLab, eludendo i meccanismi di sicurezza del sistema target.

Prodotti e/o versioni affette

GitLab CE/EE:

  • 18.10.x, versioni precedenti alla 18.10.3
  • 18.9.x, versioni precedenti alla 18.9.5
  • tutte le versioni dalla 12.10 alla 18.8.9 (esclusa)

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

Titolo della tabella
CVE POC EXPLOITATION
CVE-2026-5173: apre una nuova finestra Presente Non presente
CVE-2026-1092: apre una nuova finestra Non presente Non presente
CVE-2025-12664: apre una nuova finestra Non presente Non presente
Titolo della tabella
Versione Note Data
1.0 Pubblicato il 13-04-2026 13/04/2026

Impatto sistemico

Critico (77.56)

Data pubblicazione

13/04/26 ore 13:55

Data Ultimo Aggiornamento

13/04/26 ore 13:55