Zpětná vazba k reportu

Autentizovanému vzdálenému útočníkovi je kvůli zranitelnosti v prohlížeči blobů v GitLab CE/EE umožněno vykonat XSS útok [1].

Zranitelnost se nachází v produktech:

• GitLab Community Edition ve verzích (>=14.2 AND <18.0.6) OR (>=18.1 AND <18.1.4) OR (>=18.2 AND <18.2.2)
• GitLab Enterprise Edition ve verzích (>=14.2 AND <18.0.6) OR (>=18.1 AND <18.1.4) OR (>=18.2 AND <18.2.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

Více informací:

• CVE-2025-7734 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 8. 2025.

Autentizovanému vzdálenému útočníkovi je kvůli zranitelnosti v popisech štítků (scoped label) v GitLab CE/EE umožněno vložit škodlivý HTML kód a provést XSS útok [1].

Zranitelnost se nachází v produktech:

• GitLab Community Edition ve verzích >=18.2 AND <18.2.2
• GitLab Enterprise Edition ve verzích >=18.2 AND <18.2.2

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

Více informací:

• CVE-2025-7739 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 8. 2025.

Autentizovanému vzdálenému útočníkovi je kvůli zranitelnosti v názvech pracovních položek (Workitem) v GitLab CE/EE umožněno vložit škodlivý HTML kód a převzít účet oběti [1].

Zranitelnost se nachází v produktech:

• GitLab Community Edition ve verzích (>=18.1 AND <18.1.4) OR (>=18.2 AND <18.2.2)
• GitLab Enterprise Edition ve verzích (>=18.1 AND <18.1.4) OR (>=18.2 AND <18.2.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

Více informací:

• CVE-2025-6186 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 8. 2025.

Autentizovanému vzdálenému útočníkovi s oprávněním maintainer je kvůli nesprávnému nakládání s oprávněními v projektovém API v GitLab CE/EE umožněno zneužít sdílené infrastrukturní prostředky nad rámec svého přístupu a vyvolat tak odepření služby CI/CD pipeline ostatních uživatelů [1].

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H

Více informací:

• CVE-2025-8094 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-284: Improper Access Control at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 8. 2025.

Autentizovanému vzdálenému útočníkovi je kvůli chybnému přiřazení oprávnění v operaci mazání issues v GitLab CE/EE umožněno mazat i důvěrné issues prostřednictvím pozvání uživatelů s určitou rolí [1].

Zranitelnost se nachází v produktech:

• GitLab Community Edition ve verzích (>=17.7 AND <18.0.6) OR (>=18.1 AND <18.1.4) OR (>=18.2 AND <18.2.2)
• GitLab Enterprise Edition ve verzích (>=17.7 AND <18.0.6) OR (>=18.1 AND <18.1.4) OR (>=18.2 AND <18.2.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:L

Více informací:

• CVE-2024-12303 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-266: Incorrect Privilege Assignment at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 8. 2025.

Autentizovanému vzdálenému útočníkovi je kvůli chybné alokaci prostředků bez omezení v názvech release v GitLab CE/EE umožněno vyvolat stav odepření služby [1].

Zranitelnost se nachází v produktech:

• GitLab Community Edition ve verzích (>=11.6 AND <18.0.6) OR (>=18.1 AND <18.1.4) OR (>=18.2 AND <18.2.2)
• GitLab Enterprise Edition ve verzích (>=11.6 AND <18.0.6) OR (>=18.1 AND <18.1.4) OR (>=18.2 AND <18.2.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Více informací:

• CVE-2025-2614 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 8. 2025.