[TLP:CLEAR] GitLab CE/EE opravuje 15 zraniteľností
GitLab verziami 18.8.4, 18.7.4 a 18.6.6 opravuje 15 zraniteľností v produktoch GitLab Community Edition (CE) a Enterprise Edition (EE) [1]. Najzávažnejšie zraniteľnosti sú uvedené nižšie.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať do privátnych repozitárov pomocou ukradnutého autentizačného tokenu [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=18.8.0 AND 18.8.4) OR (>=18.7.0 AND <18.7.4) OR (>=18.2.0 AND <18.6.6).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N
Viac informácií:
- CVE-2025-7659 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-346: Origin Validation Error at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 2. 2026.
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok opakovaným zasielaním GrapQL dotazov [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=18.8.0 AND 18.8.4) OR (>=18.7.0 AND <18.7.4) OR (>=10.8.0 AND <18.6.6).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-8099 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 2. 2026.
Autentizovanému vzdialenému útočníkovi je za určitých okolností umožnené vykonať XSS útok vo funkcionalite Code Flow v detaile zraniteľnosti [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=18.8.0 AND 18.8.4) OR (>=18.7.0 AND <18.7.4) OR (>=17.1.0 AND <18.6.6).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N
Viac informácií:
- CVE-2025-14560 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 2. 2026.
Za CESNET-CERTS Martin Krajči dňa 12. 2. 2026.
