| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 17.9.2, 17.8.5 i 17.7.7 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 17.9.2, 17.8.5 i 17.7.7 |
| Numer CVE | CVE-2025-25291 |
| Krytyczność | 8.8/10 |
| CVSS | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:P |
| Opis | W ruby-saml w wersjach wcześniejszych niż 1.12.4 i 1.18.0 odkryto lukę w zabezpieczeniach umożliwiającą ominięcie uwierzytelniania z powodu różnic w parserze. ReXML i Nokogiri inaczej parsują XML; parsery mogą generować zupełnie różne struktury dokumentów z tego samego wejścia XML. Pozwala to atakującemu na wykonanie ataku Signature Wrapping. |
| Numer CVE | CVE-2025-25292 |
| Krytyczność | 8.8/10 |
| CVSS | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:P |
| Opis | W ruby-saml w wersjach wcześniejszych niż 1.12.4 i 1.18.0 odkryto lukę w zabezpieczeniach umożliwiającą ominięcie uwierzytelniania z powodu różnic w parserze. ReXML i Nokogiri inaczej parsują XML, parsery mogą generować zupełnie różne struktury dokumentów z tego samego wejścia XML. Pozwala to atakującemu na wykonanie ataku Signature Wrapping. Ten problem może prowadzić do ominięcia uwierzytelniania. |
| Numer CVE | CVE-2025-27407 |
| Krytyczność | 7.2/10 |
| CVSS | AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U/U:Amber |
| Opis | Luka istnieje z powodu nieprawidłowej walidacji danych wejściowych podczas ładowania złośliwej definicji schematu w „GraphQL::Schema.from_introspection”. Zdalny atakujący może wykonać dowolny kod w systemie docelowym. |
| Numer CVE | CVE-2024-13054 |
| Krytyczność | 5.7/10 |
| CVSS | AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | Luka istnieje z powodu niewystarczającej walidacji danych wejściowych dostarczonych przez użytkownika. Zdalny użytkownik w sieci lokalnej może przekazać specjalnie spreparowane dane wejściowe do aplikacji i przeprowadzić atak typu „odmowa usługi” (DoS). |
| Numer CVE | CVE-2024-12380 |
| Krytyczność | 4.4/10 |
| CVSS | AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N |
| Opis | Luka istnieje z powodu nadmiernego wyprowadzania danych, gdy nie powiedzie się tworzenie kopii lustrzanej repozytorium. Zdalny administrator może uzyskać nieautoryzowany dostęp do poufnych informacji w systemie. |
| Numer CVE | CVE-2025-1257 |
| Krytyczność | 6.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
| Opis | Luka istnieje z powodu nieograniczonego pola w GitLab Approval Rules. Zdalny atakujący może manipulować określonymi danymi wejściowymi API i przeprowadzić atak typu „odmowa usługi” (DoS). |
| Numer CVE | CVE-2025-0652 |
| Krytyczność | 4.3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Opis | Luka istnieje z powodu wewnętrznych notatek w żądaniach scalenia wysyłanych e-mailem do osób niebędących członkami po przesłaniu recenzji. Zdalny użytkownik może uzyskać dostęp do poufnych informacji przeznaczonych wyłącznie do użytku wewnętrznego. |
| Numer CVE | CVE-2024-8402 |
| Krytyczność | 3.7/10 |
| CVSS | AV:L/AC:H/PR:H/UI:R/S:C/C:L/I:L/A:N |
| Opis | Luka istnieje z powodu nieprawidłowej walidacji danych wejściowych w funkcji integracji Google Cloud IAM. Zdalny administrator może przekazać specjalnie spreparowane dane do aplikacji i wykonać dowolne polecenia w systemie docelowym. |
| Numer CVE | CVE-2024-7296 |
| Krytyczność | 2.7/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N |
| Opis | Luka istnieje z powodu niewłaściwych ograniczeń dostępu. Zdalny administrator może zatwierdzać oczekujące prośby o członkostwo przekraczające maksymalną liczbę dozwolonych użytkowników. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2025/03/12/patch-release-gitlab-17-9-2-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P25-079)
Powiązane
Chiński ChatGPT wektorem ataku
21 godzin temu
Jaki silnik elektryczny do pontonu forum?
1 dzień temu
Czy rowery elektryczne się psują?
4 dni temu
