[TLP:CLEAR] GitLab CE/EE opravuje 7 zraniteľností
GitLab verziami 18.5.1, 18.4.3 a 18.3.5 opravuje 7 zraniteľností v produktoch GitLab Community Edition (CE) a Enterprise Edition (EE) [1]. Najzávažnejšie zraniteľnosti sú uvedené nižšie.
Autentizovanému vzdialenému útočníkovi so špecifickými oprávneniami je umožnené prevzať kontrolu nad určitou časťou cudzieho projektu [1].
Zraniteľnosť sa nachádza v produkte GitLab EE vo verziách (>=17.1 AND <18.3.5) OR (>=18.4 AND <18.4.3 AND >=18.5 AND <18.5.1).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2025-11702 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 22. 10. 2025.
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok zasielaním špeciálne vytvorených dát [1].
Zraniteľnosť sa nachádza v produkte GitLab CE/EE vo verziách (>=17.10 AND <18.3.5) OR (>=18.4 AND <18.4.3 AND >=18.5 AND <18.5.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-10497 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 22. 10. 2025.
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok zasielaním špeciálne vytvorených GrapgQL požiadaviek [1].
Zraniteľnosť sa nachádza v produkte GitLab CE/EE vo verziách (>=11.0 AND <18.3.5) OR (>=18.4 AND <18.4.3 AND >=18.5 AND <18.5.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-11447 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 22. 10. 2025.
Za CESNET-CERTS Martin Krajči dňa 29. 10. 2025.
