Pubblicato il 2026-07-13 · Fonte: NVD NIST
La vulnerabilità di path traversal identificata come CVE-2026-61462 colpisce il parametro job_id in build/index.js di mcp-gitlab. Ciò consente agli attaccanti di redirigere le richieste API di GitLab a endpoint arbitrari, sfruttando il token di accesso personale dell'operatore. La gravità di questa vulnerabilità è classificata come alta, con un punteggio CVSS di 8.6. La CWE-73 indica che la vulnerabilità è dovuta a un errore di validazione dell'input.
Un attaccante può sfruttare questa vulnerabilità per accedere a risorse API di GitLab al di fuori dell'ambito previsto, potenzialmente esponendo dati sensibili o compromettendo la sicurezza dell'infrastruttura. Gli attaccanti possono fornire valori di job_id appositamente creati per sfuggire al prefisso di percorso previsto e accedere a risorse API arbitrarie utilizzando il token di accesso personale dell'operatore.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, è consigliabile applicare patch di sicurezza fornite dal fornitore non appena disponibili. In assenza di patch specifiche, è importante adottare pratiche di sicurezza generiche come la validazione rigorosa degli input, il controllo degli accessi e la limitazione delle autorizzazioni per ridurre l'impatto potenziale di una vulnerabilità. Inoltre, è fondamentale monitorare costantemente i log di sistema e le attività di rete per rilevare eventuali tentativi di sfruttamento.
La vulnerabilità di path traversal consente agli attaccanti di accedere a file o directory al di fuori del percorso previsto, potenzialmente esponendo dati sensibili o eseguendo azioni non autorizzate.
Il CVSS Score della vulnerabilità CVE-2026-61462 è 8.6, classificata come alta.
Per proteggersi da questa vulnerabilità, è consigliabile applicare patch di sicurezza non appena disponibili e adottare pratiche di sicurezza generiche come la validazione degli input e il controllo degli accessi.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.