| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 18.7.1, 18.6.3 i 18.5.5 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 18.7.1, 18.6.3 i 18.5.5 |
| Numer CVE | CVE-2025-9222 |
| Krytyczność | 8.7/10 |
| CVSS | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
| Opis | GitLab usunął problem, który mógł umożliwić uwierzytelnionemu użytkownikowi wykonanie skryptu międzywitrynowego (cross-site scripting) poprzez wykorzystanie mechanizmu przetwarzania symboli zastępczych GitLab Flavored Markdown. |
| Numer CVE | CVE-2025-13761 |
| Krytyczność | 8.0/10 |
| CVSS | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N |
| Opis | GitLab usunął problem, który mógł umożliwić nieuwierzytelnionemu użytkownikowi wykonanie dowolnego kodu w kontekście przeglądarki uwierzytelnionego użytkownika poprzez nakłonienie uprawnionego użytkownika do odwiedzenia specjalnie spreparowanej strony internetowej. |
| Numer CVE | CVE-2025-13772 |
| Krytyczność | 7.1/10 |
| CVSS | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N |
| Opis | GitLab usunął problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi dostęp i wykorzystanie ustawień modelu AI z nieautoryzowanych przestrzeni nazw poprzez manipulowanie identyfikatorami przestrzeni nazw w żądaniach API. |
| Numer CVE | CVE-2025-13781 |
| Krytyczność | 6.5/10 |
| CVSS | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
| Opis | GitLab usunął problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi modyfikację ustawień dostawcy funkcji AI w całej instancji poprzez wykorzystanie brakujących kontroli autoryzacji w mutacjach GraphQL. |
| Numer CVE | CVE-2025-10569 |
| Krytyczność | 6.5/10 |
| CVSS | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | GitLab naprawił problem, który mógł umożliwiać uwierzytelnionym użytkownikom tworzenie warunków odmowy usługi (DOS) poprzez dostarczanie spreparowanych odpowiedzi na wywołania zewnętrznego interfejsu API. |
| Numer CVE | CVE-2025-11246 |
| Krytyczność | 5.4/10 |
| CVSS | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L |
| Opis | GitLab naprawił problem, który mógł umożliwiać uwierzytelnionym użytkownikom z określonymi uprawnieniami usuwanie wszystkich programów uruchamiających projekty z niepowiązanych projektów poprzez manipulowanie powiązaniami programów uruchamiających GraphQL. |
| Numer CVE | CVE-2025-3950 |
| Krytyczność | 3.5/10 |
| CVSS | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N |
| Opis | GitLab naprawił problem, który mógł umożliwić użytkownikowi ujawnienie poufnych informacji o połączeniu poprzez odwołanie się do specjalnie spreparowanych obrazów omijających ochronę serwera proxy zasobów. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2026/01/07/patch-release-gitlab-18-7-1-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P26-008)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny