Angreifer können an mehreren Schwachstellen in der Softwareentwicklungsplattform GitLab ansetzen. Davon sind die Community- und Enterprise-Editionen betroffen. Sicherheitsupdates sind verfügbar.

In einer Warnmeldung versichern die Verantwortlichen, dass GitLab.com bereits abgesichert sei. Sie empfehlen, dass Admins von On-premise-Instanzen die reparierten Ausgaben 18.0.6, 18.1.4 oder 18.2.2 zeitnah installieren sollten. Noch gibt es keine Informationen, ob bereits Attacken laufen.

Vier Sicherheitslücken (CVE-2025-7734, CVE-2025-7739, CVE-2025-6186, CVE-2025-8094) sind mit dem Bedrohungsgrad "hoch" eingestuft. An diesen Stellen können Angreifer in erster Linie für XSS-Attacken ansetzen. In einem Fall können sie Schadcode sogar dauerhaft auf verwundbaren Servern ablegen (stored XSS).

In den anderen Fällen ist unter anderem die Authentifizierung umgehbar (CVE-2024-10219 "mittel"). Neben dem Schließen von Sicherheitslücken haben die Entwickler in den aktuellen Ausgaben noch einige Bugs beseitigt.

Zuletzt haben Sicherheitsupdates GitLab vor möglichen Accountübernahmen geschützt.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo

Original Link
(Ursprünglich geschrieben von Heise)