| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 18.4.2, 18.3.4 i 18.2.8 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 18.4.2, 18.3.4 i 18.2.8 |
| Numer CVE | CVE-2025-11340 |
| Krytyczność | 7,7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N |
| Opis | GitLab naprawił problem, który w pewnych warunkach mógł umożliwiać uwierzytelnionym użytkownikom z tokenami API tylko do odczytu wykonywanie nieautoryzowanych operacji zapisu rekordów luk w zabezpieczeniach poprzez wykorzystanie mutacji GraphQL o niepoprawnym zakresie. |
| Numer CVE | CVE-2025-10004 |
| Krytyczność | 7,5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Opis | GitLab naprawił problem, który mógł powodować brak reakcji lub degradację instancji GitLab poprzez wysyłanie zmodyfikowanych zapytań GraphQL żądających dużych obiektów blob repozytorium. |
| Numer CVE | CVE-2025-9825 |
| Krytyczność | 5.0/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N |
| Opis | GitLab naprawił problem, który mógł umożliwiać uwierzytelnionym użytkownikom bez członkostwa w projekcie przeglądanie poufnych, ręcznych zmiennych CI/CD poprzez zapytania do interfejsu API GraphQL. |
| Numer CVE | CVE-2025-2934 |
| Krytyczność | 4.3/10 |
| CVSS | V:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
| Opis | GitLab naprawił problem dotyczący biblioteki Ruby Core, który mógł umożliwiać uwierzytelnionemu użytkownikowi utworzenie odmowy usługi (DOS) poprzez skonfigurowanie złośliwych punktów końcowych webhook wysyłających zmodyfikowane odpowiedzi HTTP. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2025/10/08/patch-release-gitlab-18-4-2-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P25-351)
Powiązane
Krytyczna podatność w Redis. (P25-350)
5 dni temu
RediShell czyli krytyczna podatność w Redis
6 dni temu
