| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 18.0.2, 17.11.4 i 17.10.8 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 18.0.2, 17.11.4 i 17.10.8 |
| Numer CVE | CVE-2025-4278 |
| Krytyczność | 8.7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
| Opis | GitLab naprawił problem, który w pewnych warunkach mógł umożliwić skutecznemu atakującemu przejęcie konta poprzez wstrzyknięcie kodu do strony wyszukiwania. |
| Numer CVE | CVE-2025-2254 |
| Krytyczność | 8.7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
| Opis | GitLab naprawił problem, który w pewnych warunkach mógł umożliwić skutecznemu atakującemu działanie w kontekście legalnego użytkownika poprzez wstrzyknięcie złośliwego skryptu do przeglądarki fragmentów kodu. |
| Numer CVE | CVE-2025-5121 |
| Krytyczność | 8,5/10 |
| CVSS | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H |
| Opis | GitLab naprawił problem, który w pewnych warunkach mógł umożliwić skutecznemu atakującemu z uwierzytelnionym dostępem do instancji GitLab z zastosowaną licencją GitLab Ultimate (klient płatny lub wersja próbna) wstrzyknięcie złośliwego zadania CI/CD do wszystkich przyszłych potoków CI/CD dowolnego projektu. |
| Numer CVE | CVE-2025-0673 |
| Krytyczność | 7,5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Opis | GitLab naprawił problem, który mógł umożliwić skutecznemu atakującemu odmowę dostępu prawowitym użytkownikom docelowego systemu poprzez wywołanie nieskończonej pętli przekierowań powodującej wyczerpanie pamięci na serwerze. |
| Numer CVE | CVE-2025-1516 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | GitLab naprawił problem, który mógł umożliwić skutecznemu atakującemu odmowę dostępu uprawnionym użytkownikom docelowego systemu poprzez generowanie tokenów o wystarczająco dużych nazwach. |
| Numer CVE | CVE-2025-1478 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | GitLab naprawił problem, który mógł umożliwić skutecznemu atakującemu odmowę dostępu uprawnionym użytkownikom docelowego systemu poprzez tworzenie nazw tablic o wystarczająco dużych rozmiarach. |
| Numer CVE | CVE-2024-9512 |
| Krytyczność | 5.3/10 |
| CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N |
| Opis | GitLab naprawił problem, który w pewnych warunkach mógł umożliwić skutecznemu atakującemu sklonowanie prywatnego repozytorium uprawnionego użytkownika poprzez wysłanie żądania klonowania z opóźnieniem, gdy węzeł pomocniczy nie był zsynchronizowany. |
| Numer CVE | CVE-2025-5996 |
| Krytyczność | 6.5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | GitLab naprawił problem, który mógł umożliwić skutecznemu atakującemu odmowę dostępu uprawnionym użytkownikom docelowego systemu poprzez zintegrowanie złośliwego komponentu innej firmy z projektem GitLab. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2025/06/11/patch-release-gitlab-18-0-2-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P25-184)
Powiązane
![Krytyczna podatność w Androidzie umożliwia zdalne wykonanie kodu, bez interakcji ze strony użytkownika [CVE-2025-48593]](https://sekurak.pl/wp-content/uploads/2025/11/Zrzut-ekranu-2025-11-7-o-13.55.14.png)
Nastoletni sprawcy DDoS-ów złapani przez policję
1 dzień temu
