GitLab publikuje aktualizacje dla swoich produktów. (P25-268)

cert.pse-online.pl 1 tydzień temu

Produkt	GitLab Community Edition (CE) – wersje wcześniejsze niż 18.2.2, 18.1.4 i 18.0.6 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 18.2.2, 18.1.4 i 18.0.6
Numer CVE	CVE-2025-7734
Krytyczność	8.7/10
CVSS	AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Opis	GitLab usunął problem, który w pewnych warunkach mógł umożliwić atakującemu wykonywanie działań w imieniu użytkowników poprzez wstrzykiwanie złośliwej zawartości.

Numer CVE	CVE-2025-7739
Krytyczność	8.7/10
CVSS	AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Opis	GitLab usunął problem, który w pewnych warunkach mógł umożliwić uwierzytelnionym użytkownikom przeprowadzenie ataku typu cross-site scripting poprzez wstrzykiwanie złośliwej zawartości HTML w zakresowe opisy etykiet.

Numer CVE	CVE-2025-6186
Krytyczność	8.7/10
CVSS	AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Opis	GitLab usunął problem, który mógł umożliwić uwierzytelnionym użytkownikom przejęcie konta poprzez wstrzyknięcie złośliwego kodu HTML do nazw elementów roboczych.

Numer CVE	CVE-2025-8094
Krytyczność	7.7/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
Opis	GitLab usunął problem, który w pewnych okolicznościach mógł umożliwić uwierzytelnionym użytkownikom z uprawnieniami konserwatora spowodowanie odmowy usługi dla procesów CI/CD innych użytkowników poprzez manipulowanie współdzielonymi zasobami infrastruktury wykraczające poza ich zamierzony poziom dostępu.

Numer CVE	CVE-2024-12303
Krytyczność	6.7/10
CVSS	AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:L
Opis	GitLab usunął problem, który w pewnych warunkach mógł umożliwiać uwierzytelnionym użytkownikom o określonych rolach i uprawnieniach usuwanie zgłoszeń, w tym poufnych, poprzez zaproszenie użytkowników o określonej roli.

Numer CVE	CVE-2025-2614
Krytyczność	6.5/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Opis	GitLab usunął problem, który mógł umożliwić uwierzytelnionemu użytkownikowi spowodowanie odmowy usługi poprzez utworzenie specjalnie spreparowanej treści, która podczas przetwarzania zużywała ogromną ilość zasobów serwera.

Numer CVE	CVE-2024-10219
Krytyczność	6.5/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Opis	GitLab usunął problem, który w pewnych okolicznościach mógł umożliwiać uwierzytelnionym użytkownikom ominięcie kontroli dostępu i pobranie prywatnych artefaktów poprzez dostęp do określonych punktów końcowych interfejsu API.

Numer CVE	CVE-2025-8770
Krytyczność	6.5/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
Opis	GitLab usunął problem, który mógł umożliwiać uwierzytelnionym użytkownikom ze specjalnym dostępem ominięcie zasad zatwierdzania żądań scalenia poprzez manipulowanie identyfikatorami reguł zatwierdzania.

Numer CVE	CVE-2025-2937
Krytyczność	6.5/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Opis	GitLab u odłączonego problemu, który może być uwierzytelniony przez użytkownika, tworzący funkcję uniemożliwiającą korzystanie z usług (DoS) poprzez specjalnie spreparowanych ładunków w Markdown do funkcji Wiki.

Numer CVE	CVE-2025-1477
Krytyczność	6.5/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Opis	GitLab usunął problem, który mógł umożliwić niezweryfikowanemu użytkownikowi spowodowanie odmowy usługi poprzez wysłanie specjalnie spreparowanych ładunków do określonych punktów końcowych interfejsu API integracji.

Numer CVE	CVE-2025-5819
Krytyczność	5.0/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:N
Opis	GitLab usunął problem, który w pewnych okolicznościach mógł umożliwiać uwierzytelnionym użytkownikom z uprawnieniami programisty uzyskanie tokenów identyfikacyjnych dla chronionych gałęzi.

Numer CVE	CVE-2025-2498
Krytyczność	3.1/10
CVSS	AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
Opis	GitLab usunął problem, który w pewnych warunkach umożliwiał użytkownikom przeglądanie przypisanych problemów z grup z ograniczeniami poprzez ominięcie ograniczeń IP.

Aktualizacja	TAK
Link	https://about.gitlab.com/releases/2025/08/13/patch-release-gitlab-18-2-2-released/