[TLP:CLEAR] GitLab CE/EE opravuje 4 zranitelnosti
GitLab verzemi 18.1.2, 18.0.4 a 17.11.6 opravuje 4 zranitelnosti v produktech GitLab Community Edition (CE) a Enterprise Edition (EE). Nejzávažnější z nich jsou popsány níže, zbylé zranitelnosti naleznete na [1].
Autentizovanému vzdálenému útočníkovi je za určitých podmínek umožněno vykonat útok XSS [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=17.11 AND <17.11.6) OR (>=18.0 AND <18.0.4) OR (>=18.1 AND <18.1.2)
- GitLab Enterprise Edition ve verzích (>=17.11 AND <17.11.6) OR (>=18.0 AND <18.0.4) OR (>=18.1 AND <18.1.2)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Více informací:
- CVE-2025-6948 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 7. 2025.
Autentizovanému vzdálenému útočníkovi, který je vlastníkem projektu, je manipulací API požadavků umožněno obejít některé skupinové restrikce a neoprávněně vytvořit jeho kopii (fork) [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=13.3 AND <17.11.6) OR (>=18.0 AND <18.0.4) OR (>=18.1 AND <18.1.2)
- GitLab Enterprise Edition ve verzích (>=13.3 AND <17.11.6) OR (>=18.0 AND <18.0.4) OR (>=18.1 AND <18.1.2)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Více informací:
- CVE-2025-3396 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-863: Incorrect Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 7. 2025.
Za CESNET-CERTS Michaela Ručková dne 15. 7. 2025.
