| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 18.5.2, 18.4.4 i 18.3.6 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 18.5.2, 18.4.4 i 18.3.6 |
| Numer CVE | CVE-2025-11224 |
| Krytyczność | 7,7/10 |
| CVSS | AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N |
| Opis | GitLab naprawił problem, który w pewnych okolicznościach mógł umożliwić uwierzytelnionemu użytkownikowi wykonanie skryptu międzywitrynowego z powodu nieprawidłowej walidacji danych wejściowych w funkcji proxy Kubernetes. |
| Aktualizacja | CVE-2025-11865 |
| Numer CVE | 6,5/10 |
| Krytyczność | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
| CVSS | GitLab naprawił problem, który w pewnych okolicznościach mógł umożliwić użytkownikowi usunięcie przepływów Duo innego użytkownika. |
| Opis | |
| CVE-2025-2615 | |
| Aktualizacja | 4.3/10 |
| Numer CVE | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Krytyczność | GitLab naprawił problem, który mógł umożliwić zablokowanemu użytkownikowi dostęp do poufnych informacji poprzez nawiązanie subskrypcji GraphQL za pośrednictwem połączeń WebSocket. |
| CVSS | |
| Opis | CVE-2025-7000 |
| 4.3/10 | |
| Aktualizacja | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Numer CVE | GitLab naprawił problem w GitLab CE/EE, który w określonych warunkach mógł umożliwić nieautoryzowanym użytkownikom przeglądanie poufnych nazw gałęzi poprzez dostęp do zgłoszeń projektu z powiązanymi żądaniami scalenia. |
| Krytyczność | |
| CVSS | CVE-2025-6945 |
| Opis | 3,5/10 |
| AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N | |
| Aktualizacja | GitLab naprawił problem, który mógł umożliwić uwierzytelnionemu użytkownikowi wyciek poufnych informacji z poufnych zgłoszeń poprzez wstrzykiwanie ukrytych monitów w komentarzach do żądania scalenia. |
| Numer CVE | |
| Krytyczność | CVE-2025-11990 |
| CVSS | 3,1/10 |
| Opis | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
| GitLab naprawił problem, który mógł umożliwić uwierzytelnionemu użytkownikowi uzyskanie tokenów CSRF poprzez wykorzystanie nieprawidłowej walidacji danych wejściowych w odwołaniach do repozytorium w połączeniu ze słabościami w obsłudze przekierowań. | |
| Aktualizacja | |
| Numer CVE | CVE-2025-6171 |
| Krytyczność | 3.1/10 |
| CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Opis | GitLab naprawił problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi z uprawnieniami reportera przeglądanie nazw gałęzi i szczegółów potoku poprzez dostęp do punktu końcowego API pakietów, choćby gdy dostęp do repozytorium był wyłączony. |
| Aktualizacja | CVE-2025-7736 |
| Numer CVE | 3.1/10 |
| Krytyczność | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N) |
| CVSS | GitLab naprawił problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi ominięcie ograniczeń kontroli dostępu i przeglądanie treści GitLab Pages przeznaczonych wyłącznie dla członków projektu poprzez uwierzytelnienie za pośrednictwem dostawców OAuth. |
| Opis | |
| CVE-2025-12983 | |
| Aktualizacja | 3.1/10 |
| Numer CVE | AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:L |
| Krytyczność | GitLab naprawił problem, który mógł umożliwić uwierzytelnionemu użytkownikowi spowodowanie odmowy usługi poprzez przesłanie specjalnie spreparowanej treści w formacie Markdown z zagnieżdżonymi wzorcami formatowania. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2025/11/12/patch-release-gitlab-18-5-2-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P25-415)
Powiązane
Podatności w oprogramowaniu routera WODESYS WD-R608U
1 dzień temu