GitLab publikuje aktualizacje dla swoich produktów. (P25-199)

utworzone przez | cze 26, 2025 | Aktualizacje

ProduktGitLab Community Edition (CE) – wersje wcześniejsze niż 18.1.1, 18.0.3 i 17.11.5
GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 18.1.1, 18.0.3 i 17.11.5
Numer CVECVE-2025-3279
Krytyczność6,5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisLuka występuje z powodu niewystarczającej walidacji danych wejściowych dostarczonych przez użytkownika podczas obsługi żądań GraphQL. Zdalny użytkownik może wysyłać specjalnie spreparowane żądania GraphQL do aplikacji i przeprowadzać atak typu „odmowa usługi” (DoS).
  
Numer CVECVE-2025-1754
Krytyczność5,3/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
OpisLuka występuje z powodu braku kontroli autoryzacji w interfejsie API. Zdalny, nieuwierzytelniony atakujący może przesyłać dowolne pliki do projektów publicznych, wysyłając spreparowane żądania interfejsu API i zużywać całą dostępną pamięć masową, co prowadzi do odmowy usługi.
  
Numer CVECVE-2025-5315
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
OpisLuka występuje z powodu niewłaściwych ograniczeń dostępu. Zdalny użytkownik może ominąć zaimplementowane ograniczenie roli wymuszane przez interfejs użytkownika, wysyłając spreparowane żądania API.
  
Numer CVECVE-2025-2938
Krytyczność3.1/10
CVSSAV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N
OpisLuka występuje z powodu nieprawidłowego nakładania przez aplikację ograniczeń bezpieczeństwa podczas procesu zatwierdzania. Zdalny uwierzytelniony użytkownik może uzyskać podwyższone uprawnienia w aplikacji.
  
Numer CVECVE-2025-5846
Krytyczność2.7/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
OpisLuka występuje z powodu niewłaściwych ograniczeń dostępu. Użytkownik zdalny może przypisywać projektom niezwiązane z nimi ramy zgodności, wysyłając zmodyfikowane mutacje GraphQL, które ominęły kontrole uprawnień specyficzne dla ram.
  
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2025/06/25/patch-release-gitlab-18-1-1-released/