| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 17.10.1, 17.9.3 i 17.8.6 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 17.10.1, 17.9.3 i 17.8.6 |
| Numer CVE | CVE-2025-2255 |
| Krytyczność | 8.7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
| Opis | Luka istnieje z powodu niewystarczającej sanityzacji danych dostarczonych przez użytkownika w komunikatach o błędach merge-request. Zdalny użytkownik może oszukać ofiarę, aby skorzystała ze specjalnie spreparowanego łącza i wykonała dowolny kod HTML i skrypt w przeglądarce użytkownika w kontekście podatnej witryny. |
| Numer CVE | CVE-2025-0811 |
| Krytyczność | 8.7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
| Opis | Luka istnieje z powodu nieprawidłowego renderowania niektórych typów plików. Zdalny użytkownik może oszukać ofiarę, aby skorzystała ze specjalnie spreparowanego łącza i wykonała dowolny kod HTML i skrypt w przeglądarce użytkownika w kontekście podatnej witryny. |
| Numer CVE | CVE-2025-2242 |
| Krytyczność | 7.5/10 |
| CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Luka umożliwia zdalnemu atakującemu uzyskanie nieautoryzowanego dostępu do w inny sposób ograniczonej funkcjonalności. Luka istnieje, ponieważ uprawnienia administratora utrzymują się po odwołaniu roli. Zdalny użytkownik może przez cały czas utrzymywać podwyższone uprawnienia do grup i projektów. |
| Numer CVE | CVE-2024-12619 |
| Krytyczność | 5.2/10 |
| CVSS | AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:N |
| Opis | Luka umożliwia zdalnemu użytkownikowi uzyskanie nieautoryzowanego dostępu do w inny sposób ograniczonej funkcjonalności. Luka istnieje z powodu niewłaściwych ograniczeń dostępu. Zdalny administrator może uzyskać nieautoryzowany dostęp do projektów wewnętrznych. |
| Numer CVE | N/A |
| Krytyczność | 4.4/10 |
| CVSS | AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N |
| Opis | Luka istnieje z powodu natychmiastowego wstrzyknięcia w GitLab Duo z Amazon Q. Zdalny użytkownik może dostarczyć specjalnie spreparowane dane wejściowe, aby manipulować funkcjami rozwoju wspomaganymi przez sztuczną inteligencję i ujawnić poufne dane projektu. |
| Numer CVE | CVE-2024-10307 |
| Krytyczność | 4.3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
| Opis | Luka istnieje, ponieważ aplikacja nie kontroluje prawidłowo zużycia zasobów wewnętrznych. Zdalny użytkownik może użyć specjalnie spreparowanego pliku terraform w żądaniu scalenia, wywołać wyczerpanie zasobów i przeprowadzić atak typu „odmowa usługi” (DoS). |
| Numer CVE | CVE-2024-9773 |
| Krytyczność | 3.7/10 |
| CVSS | AV:L/AC:H/PR:H/UI:R/S:C/C:L/I:L/A:N |
| Opis | Ujawniona luka umożliwia zdalnemu atakującemu wykonywanie ataków typu cross-site scripting (XSS). Luka istnieje z powodu niewystarczającej sanityzacji danych dostarczonych przez użytkownika w integracji rejestru Harbor. Zdalny użytkownik może wstrzykiwać i wykonywać dowolny kod HTML i skrypt w przeglądarce użytkownika w kontekście podatnej witryny. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2025/03/26/patch-release-gitlab-17-10-1-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P25-092)
Powiązane
Krajobraz zagrożeń 24-30/03/25
1 dzień temu
Jakie podatności znajdują najczęściej pentesterzy?
1 tydzień temu
Podatność w aplikacji Fast CAD Reader
1 tydzień temu