Die Betreiber von GitLab haben Patch-Releases für ihre Versionsverwaltungsplattform veröffentlicht. Die Updates stehen sowohl für die Community Edition (CE) als auch für die Enterprise Edition (EE) bereit.
Anzeige
Die Versionen 17.8.1, 17.7.3, 17.6.4 beheben drei Schwachstellen, von denen eine mit dem Bedrohungsgrad "hoch" eingestuft ist und zwei mit "mittel".
GitLab rät in seinem Blog dringend dazu, die Patch-Releases schnellstmöglich zu installieren. Wer den Service auf GitLab.com verwendet, arbeitet bereits mit den aktualisierten Versionen – um die Cloud-Server kümmert sich der Anbieter selbst.
Als hohe Bedrohung gilt die mit dem Schweregrad CVSS 8.7 von 10 eingestufte Schwachstelle mit dem CVE-Eintrag (Common Vulnerabilities and Exposures) CVE-2025-0314, der bisher lediglich als reserviert markiert ist. Sie ermöglicht Stored XSS (Cross-Site-Scripting) über das Rendern von Asciidoctor-Inhalten. Stored XSS bedeutet, dass der Schadcode auf dem Server abgelegt ist und dadurch nicht nur durch direkte Eingaben ausgelöst wird, sondern auch bei anderen Anfragen. Im Juni 2024 gab es ebenfalls bereits eine Stored-XSS-Schwachstelle in GitLab.
Der CVE-Eintrag CVE-2024-11931, der ebenfalls bisher nicht öffentlich verfügbar ist, erhält den Schweregrad CVSS 6.4 und bedeutet somit ein mittleres Risiko. Die zugehörige Lücke ermöglicht es, über CI Lint geschützte Variablen aus dem CI/CD-Prozess (Continuous Integration / Continuous Delivery) auszulesen. CI Lint dient als Linter dazu, die Validität der Yaml-Dateien für die CI/CD-Konfiguration zu überprüfen.
Schließlich beschreibt der CVE-Eintrag CVE-2024-6324 eine mit dem Schweregrad CVSS 4.3 – ebenfalls mittlerer Bedrohungsgrad – eingestufte Schwachstelle, die eine Denial-of-Service-Attacke (DoS) durch zyklische Referenzen zwischen Epics ermöglicht.
(
Kommentare