[TLP:CLEAR] GitLab CE/EE opravuje 5 zraniteľností
GitLab verziami 17.10.4, 17.9.6 a 17.8.7 opravuje 5 zraniteľností v produkte GitLab Community Edition (CE) a Enterprise Edition (EE) [1].
Autentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok prácou s nadrozmernými dátami [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (<17.8.7) OR (>=17.9 AND <17.9.6) OR (>=17.10 AND <17.10.4).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-1677 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2025.
Autentizovanému vzdialenému útočníkovi je pomocou sociálneho inžinierstva umožnené neoprávnene získať prístup k určitej funkcionalite [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=7.7 AND <17.8.7) OR (>=17.9 AND <17.9.6) OR (>=17.10 AND <17.10.4).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N
Viac informácií:
- CVE-2025-0362 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1021: Improper Restriction of Rendered UI Layers or Frames at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2025.
Neautentizovanému vzdialenému útočníkovi je umožnené obísť sieťové bezpečnostné prvky a získať tak prístup k citlivým informáciám [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=13.12 AND <17.8.7) OR (>=17.9 AND <17.9.6) OR (>=17.10 AND <17.10.4).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Viac informácií:
- CVE-2025-2408 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1220: Insufficient Granularity of Access Control at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2025.
Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k informáciám s využitím vyhľadávania [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=17.1 AND <17.8.7) OR (>=17.9 AND <17.9.6) OR (>=17.10 AND <17.10.4).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
Viac informácií:
- CVE-2024-11129 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-209: Generation of Error Message Containing Sensitive Information at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2025.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k informáciám ohľadom určitých služieb [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=17.9 AND <17.9.6) OR (>=17.10 AND <17.10.4).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Viac informácií:
- CVE-2025-2469 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1295: Debug Messages Revealing Unnecessary Information at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2025.
Za CESNET-CERTS Martin Krajči dňa 11. 4. 2025.
