[TLP:CLEAR] GitLab CE/EE opravuje 5 zranitelností
GitLab verzemi 18.1.1, 18.0.3 a 17.11.5 opravuje 5 zranitelností v produktech GitLab Community Edition (CE) a Enterprise Edition (EE). Nejzávažnější z nich jsou popsány níže, zbylé zranitelnosti naleznete na [1].
Autentizovanému vzdálenému útočníkovi je za určitých podmínek zasíláním speciálně vytvořených GraphQL dotazů umožněno vykonat útok DoS [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=10.7 AND <17.11.5) OR (>=18.0 AND <18.0.3) OR (>=18.1 AND <18.1.1)
- GitLab Enterprise Edition ve verzích (>=10.7 AND <17.11.5) OR (>=18.0 AND <18.0.3) OR (>=18.1 AND <18.1.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-3279 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 6. 2025.
Neautentizovanému vzdálenému útočníkovi je zasíláním speciálně vytvořených API dotazů umožněno neoprávněně nahrávat libovolné soubory do veřejných projektů [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=17.2 AND <17.11.5) OR (>=18.0 AND <18.0.3) OR (>=18.1 AND <18.1.1)
- GitLab Enterprise Edition ve verzích (>=17.2 AND <17.11.5) OR (>=18.0 AND <18.0.3) OR (>=18.1 AND <18.1.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Více informací:
- CVE-2025-1754 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-306: Missing Authentication for Critical Function at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 6. 2025.
Za CESNET-CERTS Michaela Ručková dne 27. 6. 2025.