GitLab CE/EE opravuje 10 zraniteľností

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] GitLab CE/EE opravuje 10 zraniteľností

GitLab verziami 18.0.2, 17.11.4 a 17.10.8 opravuje 10 zraniteľností v produktoch GitLab Community Edition (CE) a Enterprise Edition (EE) [1]. Najzávažnejšie zraniteľnosti sú uvedené nižšie.

GitLab CE/EE - XSS (CVE-2025-2254, CVE-2025-4278) CVSS 8.7 (High)

Autentizovanému vzdialenému útočníkovi je umožnené vykonať XSS útok, vďaka čomu sa môže vydávať za iného používateľa [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách >=18.0 AND <18.0.2.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

Viac informácií:

CVE-2025-4278 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CVE-2025-2254 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 11. 6. 2025.

GitLab EE - CI/CD job injectiion (CVE-2025-5121) CVSS 8.5 (High)

Autentizovanému útočníkovi je v GitLab EE umožnené neoprávnene využívať funkcionalitu súvisiacu s CI/CD [1].

Zraniteľnosť sa nachádza v produkte GitLab EE vo verziách (>=17.11 AND <17.11.4) OR (>=18.0 AND <18.0.2).

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Viac informácií:

CVE-2025-5121 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-862: Missing Authorization at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 11. 6. 2025.

GitLab CE/EE - DoS (CVE-2025-0673) CVSS 7.5 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok na postihnutý GitLab server [1]

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=17.7 AND <17.10.8) OR (>=17.11 AND <17.11.4) OR (>=18.0 AND <18.0.2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

CVE-2025-0673 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-835: Loop with Unreachable Exit Condition ('Infinite Loop') at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 11. 6. 2025.

GitLab - information disclosure (CVE-2024-9512) CVSS 5.3 (Medium)

Autentizovanému vzdialenému útočníkovi je za určitých okolností umožnené pristupovať k súkromným repozitárom [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (<17.10.8) OR (>=17.11 AND <17.11.4) OR (>=18.0 AND <18.0.2).

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

Viac informácií:

CVE-2024-9512 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 11. 6. 2025.

Odkazy

[1] https://about.gitlab.com/releases/2025/06/11/patch-release-gitlab-18-0-2-released/

Za CESNET-CERTS Martin Krajči dňa 13. 6. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] GitLab CE/EE opravuje 10 zraniteľností

GitLab CE/EE - XSS (CVE-2025-2254, CVE-2025-4278) CVSS 8.7 (High)

GitLab EE - CI/CD job injectiion (CVE-2025-5121) CVSS 8.5 (High)

GitLab CE/EE - DoS (CVE-2025-0673) CVSS 7.5 (High)

GitLab - information disclosure (CVE-2024-9512) CVSS 5.3 (Medium)

Odkazy