[TLP:CLEAR] GitLab CE/EE opravuje 5 zranitelností

GitLab verzemi 18.1.1, 18.0.3 a 17.11.5 opravuje 5 zranitelností v produktech GitLab Community Edition (CE) a Enterprise Edition (EE). Nejzávažnější z nich jsou popsány níže, zbylé zranitelnosti naleznete na [1].

GitLab CE/EE - DoS (CVE-2025-3279) CVSS 6.5 (Medium)

Autentizovanému vzdálenému útočníkovi je za určitých podmínek zasíláním speciálně vytvořených GraphQL dotazů umožněno vykonat útok DoS [1].

Zranitelnost se nachází v produktech:

  • GitLab Community Edition ve verzích (>=10.7 AND <17.11.5) OR (>=18.0 AND <18.0.3) OR (>=18.1 AND <18.1.1)
  • GitLab Enterprise Edition ve verzích (>=10.7 AND <17.11.5) OR (>=18.0 AND <18.0.3) OR (>=18.1 AND <18.1.1)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Více informací:

Zranitelnost byla veřejně oznámena 26. 6. 2025.

GitLab CE/EE - authentication bypass (CVE-2025-1754) CVSS 5.3 (Medium)

Neautentizovanému vzdálenému útočníkovi je zasíláním speciálně vytvořených API dotazů umožněno neoprávněně nahrávat libovolné soubory do veřejných projektů [1].

Zranitelnost se nachází v produktech:

  • GitLab Community Edition ve verzích (>=17.2 AND <17.11.5) OR (>=18.0 AND <18.0.3) OR (>=18.1 AND <18.1.1)
  • GitLab Enterprise Edition ve verzích (>=17.2 AND <17.11.5) OR (>=18.0 AND <18.0.3) OR (>=18.1 AND <18.1.1)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Více informací:

Zranitelnost byla veřejně oznámena 26. 6. 2025.


Za CESNET-CERTS Michaela Ručková dne 27. 6. 2025.

CESNET CERTS Logo