GitLab CE/EE opravuje 5 zraniteľností

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] GitLab CE/EE opravuje 5 zraniteľností

GitLab verziami 17.11.1, 17.10.5 a 17.9.7 opravuje 5 zraniteľností v produkte GitLab Community Edition (CE) a Enterprise Edition (EE).

GitLab CE/EE - XSS (CVE-2025-1763, CVE-2025-2443) CVSS 8.7 (High)

Autentizovanému vzdialenému útočníkovi je umožnené vykonať XSS útok [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=16.6 AND <17.9.7) OR (>=17.10 AND <17.10.5) OR (>=17.11 AND <17.11.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

Viac informácií:

CVE-2025-1763 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CVE-2025-2443 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 23. 4. 2025.

GitLab CE/EE - account takeover (CVE-2025-1908) CVSS 7.7 (High)

Autentizovanému vzdialenému útočníkovi je umožnené obmedzeným spôsobom sledovať prehliadanie webov obete, čo môže potenciálne viesť k odcudzeniu účtu [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=16.6 AND <17.9.7) OR (>=17.10 AND <17.10.5) OR (>=17.11 AND <17.11.1).

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N

Viac informácií:

CVE-2025-1908 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-644: Improper Neutralization of HTTP Headers for Scripting Syntax at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 23. 4. 2025.

GitLab CE/EE - DoS (CVE-2025-0639) CVSS 6.5 (Medium)

Autentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=16.7 AND <17.9.7) OR (>=17.10 AND <17.10.5) OR (>=17.11 AND <17.11.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

CVE-2025-0639 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 23. 4. 2025.

GitLab CE/EE - information leak (CVE-2024-12244) CVSS 4.3 (Medium)

Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene zobrazovať informácie s obmedzeným prístupom [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=17.7 AND <17.9.7) OR (>=17.10 AND <17.10.5) OR (>=17.11 AND <17.11.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Viac informácií:

CVE-2024-12244 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-284: Improper Access Control at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 23. 4. 2025.

Odkazy

[1] https://about.gitlab.com/releases/2025/04/23/patch-release-gitlab-17-11-1-released/

Za CESNET-CERTS Martin Krajči dňa 24. 4. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] GitLab CE/EE opravuje 5 zraniteľností

GitLab CE/EE - XSS (CVE-2025-1763, CVE-2025-2443) CVSS 8.7 (High)

GitLab CE/EE - account takeover (CVE-2025-1908) CVSS 7.7 (High)

GitLab CE/EE - DoS (CVE-2025-0639) CVSS 6.5 (Medium)

GitLab CE/EE - information leak (CVE-2024-12244) CVSS 4.3 (Medium)

Odkazy