[TLP:CLEAR] GitLab CE/EE opravuje 10 zraniteľností
GitLab verziami 18.0.2, 17.11.4 a 17.10.8 opravuje 10 zraniteľností v produktoch GitLab Community Edition (CE) a Enterprise Edition (EE) [1]. Najzávažnejšie zraniteľnosti sú uvedené nižšie.
Autentizovanému vzdialenému útočníkovi je umožnené vykonať XSS útok, vďaka čomu sa môže vydávať za iného používateľa [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách >=18.0 AND <18.0.2.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Viac informácií:
- CVE-2025-4278 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-2254 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 11. 6. 2025.
Autentizovanému útočníkovi je v GitLab EE umožnené neoprávnene využívať funkcionalitu súvisiacu s CI/CD [1].
Zraniteľnosť sa nachádza v produkte GitLab EE vo verziách (>=17.11 AND <17.11.4) OR (>=18.0 AND <18.0.2).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2025-5121 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-862: Missing Authorization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 11. 6. 2025.
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok na postihnutý GitLab server [1]
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=17.7 AND <17.10.8) OR (>=17.11 AND <17.11.4) OR (>=18.0 AND <18.0.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-0673 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-835: Loop with Unreachable Exit Condition ('Infinite Loop') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 11. 6. 2025.
Autentizovanému vzdialenému útočníkovi je za určitých okolností umožnené pristupovať k súkromným repozitárom [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (<17.10.8) OR (>=17.11 AND <17.11.4) OR (>=18.0 AND <18.0.2).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
Viac informácií:
- CVE-2024-9512 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 11. 6. 2025.
Za CESNET-CERTS Martin Krajči dňa 13. 6. 2025.