Angreifer können an mehreren Schwachstellen in der Softwareentwicklungsplattform GitLab ansetzen. Davon sind die Community- und Enterprise-Editionen betroffen. Sicherheitsupdates sind verfügbar.
In einer Warnmeldung versichern die Verantwortlichen, dass GitLab.com bereits abgesichert sei. Sie empfehlen, dass Admins von On-premise-Instanzen die reparierten Ausgaben 18.0.6, 18.1.4 oder 18.2.2 zeitnah installieren sollten. Noch gibt es keine Informationen, ob bereits Attacken laufen.
Vier Sicherheitslücken (CVE-2025-7734, CVE-2025-7739, CVE-2025-6186, CVE-2025-8094) sind mit dem Bedrohungsgrad "hoch" eingestuft. An diesen Stellen können Angreifer in erster Linie für XSS-Attacken ansetzen. In einem Fall können sie Schadcode sogar dauerhaft auf verwundbaren Servern ablegen (stored XSS).
In den anderen Fällen ist unter anderem die Authentifizierung umgehbar (CVE-2024-10219 "mittel"). Neben dem Schließen von Sicherheitslücken haben die Entwickler in den aktuellen Ausgaben noch einige Bugs beseitigt.
Zuletzt haben Sicherheitsupdates GitLab vor möglichen Accountübernahmen geschützt.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo