| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 17.8.2, 17.7.4 i 17.6.5 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 17.8.2, 17.7.4 i 17.6.5 |
| Numer CVE | CVE-2025-0376 |
| Krytyczność | 8.7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
| Opis | W systemie GitLab CE/EE istnieje luka w zabezpieczeniach XSS, która dotyczy wszystkich wersji od 13.3 przed wersją 17.6.5, 17.7 przed wersją 17.7.4 i 17.8 przed wersją 17.8.2. Luka ta umożliwia atakującemu wykonywanie nieautoryzowanych działań za pośrednictwem strony zmian. |
| Numer CVE | CVE-2024-12379 |
| Krytyczność | 6.5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | Luka umożliwiająca odmowę usługi w GitLab CE/EE, która dotyczy wszystkich wersji od 14.1 przed wersją 17.6.5, 17.7 przed wersją 17.7.4 i 17.8 przed wersją 17.8.2, umożliwia atakującemu wpłynięcie na dostępność GitLab poprzez nieograniczone tworzenie symboli za pomocą parametru scopes w osobistym tokenie dostępu. |
| Numer CVE | CVE-2024-3303 |
| Krytyczność | 6.4/10 |
| CVSS | AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N |
| Opis | Odkryto problem w GitLab EE dotyczący wszystkich wersji od 16.0 do 17.6.5, od 17.7 do 17.7.4 i od 17.8 do 17.8.2. Problem ten umożliwia atakującemu wykradzenie zawartości prywatnego zgłoszenia za pomocą szybkiego wstrzyknięcia kodu. |
| Numer CVE | CVE-2025-1212 |
| Krytyczność | 4.3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Opis | Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w GitLab CE/EE dotyczy wszystkich wersji od 8.3 przed wersją 17.6.5, 17.7 przed wersją 17.7.4 i 17.8 przed wersją 17.8.2. Umożliwia ona atakującemu wysłanie specjalnie spreparowanego żądania do serwera zaplecza w celu ujawnienia poufnych informacji. |
| Numer CVE | CVE-2024-9870 |
| Krytyczność | 4.3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Opis | Luka w zabezpieczeniach związana z interakcją z usługą zewnętrzną w GitLab EE, która dotyczy wszystkich wersji od 15.11 przed wersją 17.6.5, 17.7 przed wersją 17.7.4 i 17.8 przed wersją 17.8.2, umożliwia atakującemu wysyłanie żądań z serwera GitLab do niezamierzonych usług. |
| Numer CVE | CVE-2025-0516 |
| Krytyczność | 4.3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| Opis | Nieprawidłowa autoryzacja w GitLab CE/EE dotyczy wszystkich wersji od 17.7 przed 17.7.4 i 17.8 przed 17.8.2. Umożliwia ona użytkownikom z ograniczonymi uprawnieniami wykonywanie nieautoryzowanych działań na kluczowych danych projektu. |
| Numer CVE | CVE-2025-1198 |
| Krytyczność | 4.2/10 |
| CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N |
| Opis | Odkryto problem w GitLab CE/EE dotyczący wszystkich wersji od 16.11 przed 17.6.5, 17.7 przed 17.7.4 i 17.8 przed 17.8.2. Oznaczało to, że długotrwałe połączenia w ActionCable potencjalnie umożliwiały dostęp do wyników przesyłania strumieniowego za pomocą odwołanych tokenów dostępu osobistego. |
| Numer CVE | CVE-2025-1042. |
| Krytyczność | 2.7/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N |
| Opis | Nieprawidłowa luka w zabezpieczeniach kontroli dostępu w GitLab EE, która dotyczy wszystkich wersji od 15.7 przed wersją 17.6.5, 17.7 przed wersją 17.7.4 i 17.8 przed wersją 17.8.2, umożliwia użytkownikowi z niestandardowymi uprawnieniami przeglądanie zawartości repozytorium, nawet jeśli ten dostęp nie jest autoryzowany. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2025/02/12/patch-release-gitlab-17-8-2-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P25-043)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny