| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 18.6.2, 18.5.4 i 18.4.6 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 18.6.2, 18.5.4 i 18.4.6 |
| Numer CVE | CVE-2025-12716 |
| Krytyczność | 8.7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
| Opis | GitLab usunął problem, który w pewnych warunkach mógł umożliwić uwierzytelnionemu użytkownikowi wykonywanie nieautoryzowanych działań w imieniu innego użytkownika poprzez tworzenie stron wiki ze złośliwą treścią. |
| Numer CVE | CVE-2025-8405 |
| Krytyczność | 8.7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
| Opis | GitLab usunął problem bezpieczeństwa, który mógł umożliwić uwierzytelnionemu użytkownikowi wykonywanie nieautoryzowanych działań w imieniu innych użytkowników poprzez wstrzykiwanie złośliwego kodu HTML do wyświetlaczy przepływu kodu podatności. |
| Numer CVE | CVE-2025-12029 |
| Krytyczność | 8,0/10 |
| CVSS | AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N |
| Opis | GitLab naprawił problem, który w pewnych okolicznościach mógł umożliwić nieuwierzytelnionemu użytkownikowi wykonywanie nieautoryzowanych działań w imieniu innego użytkownika poprzez wstrzykiwanie złośliwych skryptów zewnętrznych do interfejsu użytkownika Swagger. |
| Numer CVE | CVE-2025-12562 |
| Krytyczność | 7,5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Opis | GitLab naprawił problem, który mógł umożliwić nieuwierzytelnionemu użytkownikowi wygenerowanie odmowy usługi (DOS) poprzez wysyłanie zmodyfikowanych zapytań GraphQL, które omijały limity złożoności zapytania. |
| Numer CVE | CVE-2025-11984 |
| Krytyczność | 6,8/10 |
| CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N |
| Opis | GitLab naprawił problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi ominięcie dwuskładnikowego uwierzytelniania WebAuthn poprzez manipulowanie stanem sesji w określonych warunkach. |
| Numer CVE | CVE-2025-4097 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | GitLab naprawił problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi spowodowanie odmowy usługi poprzez przesłanie specjalnie spreparowanych obrazów. |
| Numer CVE | CVE-2025-14157 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | GitLab naprawił problem, który mógł umożliwić uwierzytelnionemu użytkownikowi spowodowanie odmowy usługi (Denial of Service) poprzez wysyłanie spreparowanych wywołań API z dużymi parametrami zawartości. |
| Numer CVE | CVE-2025-11247 |
| Krytyczność | 4,3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Opis | GitLab naprawił problem, który mógł umożliwić użytkownikowi ujawnienie poufnych informacji z prywatnych projektów poprzez wykonywanie specjalnie spreparowanych zapytań GraphQL. |
| Numer CVE | CVE-2025-13978 |
| Krytyczność | 4,3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Opis | GitLab naprawił problem, który mógł umożliwić uwierzytelnionemu użytkownikowi odkrycie nazw prywatnych projektów, do których nie ma dostępu, poprzez żądania API. |
| Numer CVE | CVE-2025-12734 |
| Krytyczność | 3,5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
| Opis | GitLab naprawił problem, który mógł umożliwić uwierzytelnionemu użytkownikowi ujawnienie poufnych informacji ze specjalnie spreparowanych tytułów żądań scalenia. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2025/12/10/patch-release-gitlab-18-6-2-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P25-446)
Powiązane
Podatności w oprogramowaniu routera LV-WR21Q
2 dni temu