Alert
AL02/260413/CSIRT-ITA
Sintesi
GitLab ha rilasciato aggiornamenti di sicurezza che risolvono diverse nuove vulnerabilità, di cui 3 con gravità “alta”, in GitLab Community Edition (CE) ed Enterprise Edition (EE). Tra queste, si evidenzia la CVE-2026-5173, per la quale un Proof of Concept (PoC) risulterebbe disponibile in rete.
Tipologia
- Security Restrictions Bypass
- Denial of Service
Descrizione e potenziali impatti
Nel dettaglio, la vulnerabilità di tipo “Exposed Dangerous Method”, identificata tramite la CVE-2026-5173, con score CVSS v3.1 pari a 8.5, potrebbe consentire a un potenziale attaccante autenticato, anche con privilegi utente, di richiamare metodi lato server esposti tramite le connessioni WebSocket di GitLab, eludendo i meccanismi di sicurezza del sistema target.
Prodotti e/o versioni affette
GitLab CE/EE:
- 18.10.x, versioni precedenti alla 18.10.3
- 18.9.x, versioni precedenti alla 18.9.5
- tutte le versioni dalla 12.10 alla 18.8.9 (esclusa)
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:
| CVE | POC | EXPLOITATION |
|---|---|---|
| CVE-2026-5173: apre una nuova finestra | Presente | Non presente |
| CVE-2026-1092: apre una nuova finestra | Non presente | Non presente |
| CVE-2025-12664: apre una nuova finestra | Non presente | Non presente |
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 13-04-2026 | 13/04/2026 |


























