[TLP:CLEAR] GitLab CE/EE opravuje 4 zranitelnosti
GitLab verzemi 18.3.1, 18.2.5 a 18.1.5 opravuje 4 zranitelnosti v produktech GitLab Community Edition (CE) a Enterprise Edition (EE).
Autentizovanému vzdálenému útočníkovi je kvůli nedostatečnému omezení velikosti odpovědí při zpracování zadaných URL umožněno vykonat DoS útok [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=8.15 AND <18.1.5) OR (>=18.2 AND <18.2.5) OR (>=18.3 AND <18.3.1)
- GitLab Enterprise Edition ve verzích (>=8.15 AND <18.1.5) OR (>=18.2 AND <18.2.5) OR (>=18.3 AND <18.3.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-3601 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zranitelnost byla veřejně oznámena 27. 8. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné kontrole oprávnění v GraphQL API umožněn neoprávněný přístup k citlivým manuálním CI/CD proměnným [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=14.1 AND <18.1.5) OR (>=18.2 AND <18.2.5) OR (>=18.3 AND <18.3.1)
- GitLab Enterprise Edition ve verzích (>=14.1 AND <18.1.5) OR (>=18.2 AND <18.2.5) OR (>=18.3 AND <18.3.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N
Více informací:
- CVE-2025-2246 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-862: Missing Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 27. 8. 2025.
Neautentizovanému vzdálenému útočníkovi je prostřednictvím zasílání speciálně vytvořených požadavků GraphQL umožněno vykonat DoS útok [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=14.1 AND <18.1.5) OR (>=18.2 AND <18.2.5) OR (>=18.3 AND <18.3.1)
- GitLab Enterprise Edition ve verzích (>=14.1 AND <18.1.5) OR (>=18.2 AND <18.2.5) OR (>=18.3 AND <18.3.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Více informací:
- CVE-2025-4225 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zranitelnost byla veřejně oznámena 27. 8. 2025.
Autentizovanému lokálnímu útočníkovi je prostřednictvím zneužití nejednoznačnosti mezi větvemi a tagy při importu repozitáře umožněno distribuovat škodlivý kód [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>18.1.5) OR (>=18.2 AND <18.2.5) OR (>=18.3 AND <18.3.1)
- GitLab Enterprise Edition ve verzích (>18.1.5) OR (>=18.2 AND <18.2.5) OR (>=18.3 AND <18.3.1)
CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:N/I:H/A:N
Více informací:
- CVE-2025-5101 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-94: Improper Control of Generation of Code ('Code Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 27. 8. 2025.
Za CESNET-CERTS Michaela Jarošová dne 1. 9. 2025.
