[TLP:CLEAR] GitLab CE/EE opravuje 9 zraniteľností
GitLab verziami 18.5.2, 18.4.4 a 18.3.6 opravuje 9 zraniteľností v produktoch GitLab Community Edition (CE) a Enterprise Edition (EE) [1]. Najzávažnejšie zraniteľnosti sú uvedené nižšie.
Autentizovanému vzdialenému útočníkovi je umožnené vykonať stored XSS útok vo funkcionalite Kubernetes proxy [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=15.10 AND <18.3.6) OR (>=18.4 AND <18.4.4) OR (>=18.5 AND <18.5.2).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
Viac informácií:
- CVE-2025-11224 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 11. 2025.
Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene odstraňovať AI asistentov iných používateľov z balíka GitLab Duo [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=18.1 AND <18.3.6) OR (>=18.4 AND <18.4.4) OR (>=18.5 AND <18.5.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
Viac informácií:
- CVE-2025-11865 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-863: Incorrect Authorization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 11. 2025.
Autentizovanému vzdialenému útočníkovi s blokovaným účtom je umožnené pristupovať k citlivým informáciám prostredníctvom WebSocket spojení vrámci funkcionality GraphQL subscriptions [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=15.10 AND <18.3.6) OR (>=18.4 AND <18.4.4) OR (>=18.5 AND <18.5.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Viac informácií:
- CVE-2025-11865 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 11. 2025.
Za CESNET-CERTS Martin Krajči dňa 13. 11. 2025.
