[TLP:CLEAR] GitLab CE/EE opravuje 10 zranitelností
GitLab verzemi 18.0.1, 17.11.3 a 17.10.7 opravuje 10 zranitelností v produktech GitLab Community Edition (CE) a Enterprise Edition (EE). Nejzávažnější z nich jsou popsány níže, zbylé zranitelnosti naleznete na [1].
Neautentizovanému vzdálenému útočníkovi je kvůli nechráněnému endpointu pro velké bloby umožněno způsobit DoS útok vyčerpáním serverových prostředků [1].
Zranitelnost se nachází v produktu GitLab ve verzích (>=17.10.0 AND <17.10.7) OR (>=17.11.0 AND <17.11.3) OR (>=18.0.0 AND <18.0.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-0993 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zranitelnost byla veřejně oznámena 21. 5. 2025.
Autentizovanému vzdálenému útočníkovi je za specifických podmínek, kvůli nesprávné validaci XPath výrazů při zpracování SAML odpovědí, umožněno obejít požadavek na dvoufaktorové ověření [1].
Zranitelnost se nachází v produktu GitLab ve verzích (>=11.1.0 AND <17.10.7) OR (>=17.11.0 AND <17.11.3) OR (>=18.0.0 AND <18.0.1).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
Více informací:
- CVE-2024-12093 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1288: Improper Validation of Consistency within Input at cwe.mitre.org
Zranitelnost byla veřejně oznámena 21. 5. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli nedostatečnému ošetření integrace s Discord webhookem umožněno vykonat DoS útok [1].
Zranitelnost se nachází v produktu GitLab ve verzích (>=11.6.0 AND <17.10.7) OR (>=17.11.0 AND <17.11.3) OR (>=18.0.0 AND <18.0.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2024-7803 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zranitelnost byla veřejně oznámena 21. 5. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci vstupů v integraci s Kubernetes umožněno vykonat DoS útok [1].
Zranitelnost se nachází v produktu GitLab ve verzích (>=10.2.0 AND <17.10.7) OR (>=17.11.0 AND <17.11.3) OR (>=18.0.0 AND <18.0.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-3111 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zranitelnost byla veřejně oznámena 21. 5. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci pozice poznámek umožněno vykonat DoS útok [1].
Zranitelnost se nachází v produktu GitLab ve verzích (<17.10.7) OR (>=17.11.0 AND <17.11.3) OR (>=18.0.0 AND <18.0.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-2853 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zranitelnost byla veřejně oznámena 21. 5. 2025.
Za CESNET-CERTS Michaela Jarošová dne 23. 5. 2025.
