| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 18.4.1, 18.3.3 i 18.2.7 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 18.4.1, 18.3.3 i 18.2.7 |
| Numer CVE | CVE-2025-9642 |
| Krytyczność | 8.7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
| Opis | GitLab usunął problem, który w pewnych okolicznościach mógł umożliwić niezautoryzowanemu użytkownikowi wykonywanie działań w imieniu innych użytkowników poprzez wstrzykiwanie złośliwej zawartości. |
| Numer CVE | CVE-2025-10858 |
| Krytyczność | 7.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Opis | GitLab usunął problem, który mógł umożliwić niezweryfikowanemu użytkownikowi spowodowanie, iż instancja GitLab przestanie odpowiadać uprawnionym użytkownikom, poprzez wysłanie specjalnie spreparowanych plików JSON. |
| Numer CVE | CVE-2025-8014 |
| Krytyczność | 7.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Opis | GitLab usunął problem, który mógł umożliwić niezautoryzowanemu użytkownikowi ominięcie ograniczeń złożoności zapytania, co mogło skutkować odmową usługi. |
| Numer CVE | CVE-2025-9958 |
| Krytyczność | 6.5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| Opis | GitLab usunął problem, który mógł umożliwiać użytkownikom o niskich uprawnieniach dostęp do poufnych informacji przechowywanych w konfiguracjach rejestru wirtualnego. |
| Numer CVE | CVE-2025-7691 |
| Krytyczność | 6.5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
| Opis | GitLab usunął problem, który mógł umożliwić deweloperowi ze specjalnymi uprawnieniami do zarządzania grupą rozszerzenie swoich uprawnień i uzyskanie nieautoryzowanego dostępu do dodatkowych możliwości systemu. |
| Numer CVE | CVE-2025-11042 |
| Krytyczność | 4.3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
| Opis | GitLab usunął problem, który mógł pozwolić uwierzytelnionemu użytkownikowi na niekontrolowane wykorzystanie procesora, co potencjalnie prowadziło do odmowy usługi podczas korzystania z określonych zapytań GraphQL. |
| Numer CVE | CVE-2025-10871 |
| Krytyczność | 3.8/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L |
| Opis | GitLab usunął problem, który mógł umożliwiać opiekunom projektu przypisywanie niestandardowych ról użytkownikom przekraczającym granice bezpieczeństwa opiekuna projektu i uzyskującym podwyższone uprawnienia. |
| Numer CVE | CVE-2025-10867 |
| Krytyczność | 3.5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:L |
| Opis | GitLab usunął problem, który mógł umożliwić uwierzytelnionemu użytkownikowi wygenerowanie ataku typu DoS (odmowa usługi) poprzez wykorzystanie niezabezpieczonego interfejsu API GraphQL dzięki powtarzających się żądań. |
| Numer CVE | CVE-2025-5069 |
| Krytyczność | 3.5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N |
| Opis | GitLab usunął problem, który mógł umożliwić uwierzytelnionemu użytkownikowi uzyskanie nieautoryzowanego dostępu do poufnych spraw poprzez utworzenie projektu o identycznej nazwie, co potencjalnie skutkowało przesłaniem przez użytkowników poufnych informacji do niewłaściwego projektu. |
| Numer CVE | CVE-2025-10868 |
| Krytyczność | 3.5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:L |
| Opis | GitLab usunął problem, który mógł spowodować obniżenie wydajności uwierzytelnionego użytkownika, co potencjalnie prowadziło do odmowy usługi (Denial of Service) w przypadku niektórych metod konwersji ciągów znaków. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2025/09/25/patch-release-gitlab-18-4-1-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P25-338)
Powiązane
Hackowanie wodociągów na żywo!
2 dni temu
Podatności w oprogramowaniu PAD CMS
4 dni temu
Podatność w oprogramowaniu CivetWeb
5 dni temu
