[TLP:CLEAR] GitLab CE/EE opravuje 7 zraniteľností
GitLab verziami 18.7.1, 18.6.3 a 18.5.5 opravuje 7 zraniteľností v produktoch GitLab Community Edition (CE) a Enterprise Edition (EE) [1]. Najzávažnejšie zraniteľnosti sú uvedené nižšie.
Autentizovanému vzdialenému útočníkovi je umožnené vykonať stored XSS útok v prostredí Flavored Markdown [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=18.2.2 AND <18.5.5) OR (>=18.6 AND <18.6.3) OR (>=18.7 AND <18.7.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Viac informácií:
- CVE-2025-9222 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 1. 2026.
Autentizovanému vzdialenému útočníkovi je pomocou sociálneho inžinierstva umožnené vykonať XSS útok v prostredí Web IDE [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=18.6 AND <18.6.3) OR (>=18.7 AND <18.7.1).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N
Viac informácií:
- CVE-2025-13761 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 1. 2026.
Autentizovanému vzdialenému útočníkovi je zasielaním špeciálne vytvorených odpovedí na externé API volania vo funkcionalite na importovanie umožnené vykonať DoS útok [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=8.3 AND <18.5.5) OR (>=18.6 AND <18.6.3) OR (>=18.7 AND <18.7.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
Viac informácií:
- CVE-2025-10569 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 1. 2026.
Za CESNET-CERTS Martin Krajči dňa 8. 1. 2026.
