[TLP:CLEAR] GitLab CE/EE opravuje 10 zraniteľností
GitLab verziami 18.6.2, 18.5.4 a 18.4.6 opravuje 10 zraniteľností v produktoch GitLab Community Edition (CE) a Enterprise Edition (EE) [1]. Najzávažnejšie zraniteľnosti sú uvedené nižšie.
Autentizovanému vzdialenému útočníkovi je pri vytváraní wiki stránok umožnené vykonať XSS útok [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=18.4 AND <18.4.6) OR (>=18.5 AND <18.5.4) OR (>=18.6 AND <18.6.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Viac informácií:
- CVE-2025-12716 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 12. 2025.
Neautentizovanému vzdialenému útočníkovi je za určitých okolností umožnené v prostredí Swagger UI vykonať XSS útok [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=15.11 AND <18.4.6) OR (>=18.5 AND <18.5.4) OR (>=18.6 AND <18.6.2).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N
Viac informácií:
- CVE-2025-12029 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 12. 2025.
Neautentizovanému vzdialenému útočníkovi je zaslaním príliš zložitej GraphQL požiadavky umožnené vykonať DoS útok [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=11.10 AND <18.4.6) OR (>=18.5 AND <18.5.4) OR (>=18.6 AND <18.6.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-12562 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 12. 2025.
Za CESNET-CERTS Martin Krajči dňa 11. 12. 2025.
