[TLP:CLEAR] GitLab CE/EE opravuje 10 zraniteľností

GitLab verziami 18.0.2, 17.11.4 a 17.10.8 opravuje 10 zraniteľností v produktoch GitLab Community Edition (CE) a Enterprise Edition (EE) [1]. Najzávažnejšie zraniteľnosti sú uvedené nižšie.

GitLab CE/EE - XSS (CVE-2025-2254, CVE-2025-4278) CVSS 8.7 (High)

Autentizovanému vzdialenému útočníkovi je umožnené vykonať XSS útok, vďaka čomu sa môže vydávať za iného používateľa [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách >=18.0 AND <18.0.2.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 11. 6. 2025.

GitLab EE - CI/CD job injectiion (CVE-2025-5121) CVSS 8.5 (High)

Autentizovanému útočníkovi je v GitLab EE umožnené neoprávnene využívať funkcionalitu súvisiacu s CI/CD [1].

Zraniteľnosť sa nachádza v produkte GitLab EE vo verziách (>=17.11 AND <17.11.4) OR (>=18.0 AND <18.0.2).

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 11. 6. 2025.

GitLab CE/EE - DoS (CVE-2025-0673) CVSS 7.5 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok na postihnutý GitLab server [1]

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=17.7 AND <17.10.8) OR (>=17.11 AND <17.11.4) OR (>=18.0 AND <18.0.2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 11. 6. 2025.

GitLab - information disclosure (CVE-2024-9512) CVSS 5.3 (Medium)

Autentizovanému vzdialenému útočníkovi je za určitých okolností umožnené pristupovať k súkromným repozitárom [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (<17.10.8) OR (>=17.11 AND <17.11.4) OR (>=18.0 AND <18.0.2).

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 11. 6. 2025.


Za CESNET-CERTS Martin Krajči dňa 13. 6. 2025.

CESNET CERTS Logo