Angreifer können an sechs Sicherheitslücken in der Softwareentwicklungsplattform GitLab ansetzen und Systeme attackieren. Die Entwickler geben an, die Schwachstellen geschlossen zu haben. Ihren Angaben zufolge laufen auf GitLab.com bereits gepatchte Versionen.
Admins von On-Premise-Instanzen müssen tätig werden und eine der reparierten Ausgaben von GitLab Community Edition (CE) und Enterprise Edition (EE) 18.1.6, 18.2.6, 18.3.2 installieren. Wie aus einer Warnmeldung hervorgeht, sind zwei Schwachstellen (CVE-2025-2256, CVE-2025-6454) mit dem Bedrohungsgrad "hoch" eingestuft. Im ersten Fall können Angreifer im Kontext von SAML-Responses DoS-Zustände auslösen. Im anderen Fall müssen Angreifer bereits authentifiziert sein. Dann können sie der Beschreibung zufolge bestimmte Anfragen im Proxy-Kontext manipulieren.
Durch das erfolgreiche Ausnutzen der verbleibenden Lücken können Angreifer unter anderem unberechtigt auf Informationen zugreifen. Bislang gibt es keine Berichte zu laufenden Attacken.
Mitte August dieses Jahres haben die Entwickler zwölf Sicherheitslücken in GitLab geschlossen.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo