GITLAB, saldırganların hem Topluluk Sürümü (CE) hem de Enterprise Edition (EE) platformlarında hesap devralmalarını ve depolanmış siteler arası komut dosyası (XSS) saldırılarını yürütmesini sağlayabilecek çok sayıda yüksek şiddetli güvenlik açıklarını ele alan kritik güvenlik yamaları yayınladı.
18.2.2, 18.1.4 ve 18.0.6 yamalarında açıklanan güvenlik açıkları, yöneticilerin derhal dikkatini gerektiren ciddi güvenlik risklerini temsil eder.
Kritik Güvenlik Kusurları Hesap Uzlaşmasını Sağlar
En ilgili güvenlik açıkları, kimlik doğrulamalı saldırganların diğer kullanıcılar adına kötü niyetli eylemler yürütmesine izin verebilecek birden fazla siteler arası komut dosyası kusurları içerir.
CVSS skoru 8.7 ile derecelendirilen CVE-2025-6186, özellikle kimlik doğrulamalı kullanıcıların kötü amaçlı HTML içeriğini iş öğesi adlarına enjekte etmesine izin vererek hesap devralmasını sağlar.
Bu güvenlik açığı, 18.1.4 ve 18.2’den önce 18.1’den önce GitLab CE/EE sürümlerini 18.2.2’den önce etkiler.
| CVE kimliği | Güvenlik Açığı Türü | Şiddet | CVSS Puanı |
| CVE-2025-7734 | Blob izleyicide siteler arası komut dosyası | Yüksek | 8.7 |
| CVE-2025-7739 | Etiketlerde siteler arası komut dosyası | Yüksek | 8.7 |
| CVE-2025-6186 | WorkItem’de siteler arası komut dosyası | Yüksek | 8.7 |
| CVE-2025-8094 | Project API’sinde uygunsuz izinler | Yüksek | 7.7 |
| CVE-2024-12303 | Yanlış ayrıcalık ödevi | Orta | 6.7 |
| CVE-2025-2614 | Kaynak Tahsisi Limitleri Baypas | Orta | 6.5 |
| CVE-2024-10219 | Jobs API’sinde Yanlış Yetkilendirme | Orta | 6.5 |
| CVE-2025-8770 | Birleştir isteği onay bypass | Orta | 6.5 |
| CVE-2025-2937 | Wiki’de Regex karmaşıklığı | Orta | 6.5 |
| CVE-2025-1477 | En iyi entegrasyonda kaynak sınırları | Orta | 6.5 |
| CVE-2025-5819 | Kimlik jetonunda izin ödevi | Orta | 5.0 |
| CVE-2025-2498 | IP kısıtlamalarında erişim kontrolü | Düşük | 3.1 |
İki ilave yüksek aralıklı XSS güvenlik açığı güvenlik risklerini birleştirir. CVE-2025-7734, BLOB izleyici bileşenini etkiler ve yamalı sürümlerden önce 14.2’den tüm sürümleri etkilerken, CVE-2025-7739, en son 18.2 dalındaki etiket açıklamalarını hedefler.
Her iki güvenlik açığı da aynı 8.7 CVSS derecesini taşır ve depolanmış siteler arası komut dosyası saldırılarını etkinleştirebilir. XSS güvenlik açıklarının ötesinde, yama önemli izin taşıyan kusurları ele alır.
CVE-2025-8094, paylaşılan altyapı kaynaklarını amaçlanan erişim seviyelerinin ötesinde manipüle etmek için koruyucu ayrıcalıkları olan kimlik doğrulamalı kullanıcıların potansiyel olarak diğer kullanıcıların CI/CD boru hatlarına hizmet reddetmesine neden olur.
Bu güvenlik açığı, 18.0.6’dan önce 18.0, 18.1.4’ten önce 18.1 ve 18.2.2’den önce 18.2’yi etkiler.
Birkaç orta yüzlük güvenlik açıkları, ayrıcalık artışını ve yetkisiz erişimi sağlar.
CVE-2024-12303, kullanıcıların rol manipülasyonu yoluyla gizli sorunları silmesine izin verirken, CVE-2024-10219, özel eserleri indirmek için erişim kontrollerini atlamaya izin verir.
Kaynak tükenmesi güvenlik açıkları CVE-2025-2614 ve CVE-2025-1477, özel hazırlanmış içerik aracılığıyla hizmet saldırılarının reddedilmesini sağlayabilir.
GitLab, GitLab.com’un zaten güvenli sürümü çalıştırdığı için en son yamalı sürümlere anında yükseltmeyi önerir.
Güvenlik açıkları öncelikle Joaxcar, YVVDWF ve diğerleri de dahil olmak üzere araştırmacılar ile Gitlab’ın Hackerone Bug Bounty programı ile keşfedildi.
Bu güvenlik açıklarının kapsamlı doğası, mevcut GITLAB kurulumlarını sürdürmenin ve düzenli güvenlik güncellemelerinin uygulanmasının kritik öneminin altını çizmektedir.
AWS Security Services: 10-Point Executive Checklist - Download for Free