Gitlab Community Edition (CE) ve Enterprise Edition (EE) platformlarında, saldırganların tam hesap devralmasını ve tüm kalkınma altyapılarını tehlikeye atmasını sağlayabilecek bir dizi kritik güvenlik açığı.
Şirket, on farklı güvenlik kusurunu ele almak için 18.0.2, 17.11.4 ve 17.10.8 acil durum yama sürümleri yayınladı ve birçoğu 8.0’ın üzerinde yüksek şiddetli CVSS skoru taşıyordu.
Bu güvenlik açıkları, dünya çapında milyonlarca GITLAB kurulumunu etkiler ve kuruluşların kaynak kodu depoları, CI/CD boru hatları ve hassas geliştirme verileri için önemli riskler oluşturmaktadır.
.png
)
Hesap devralma güvenlik açıkları
En şiddetli güvenlik açığı olan CVE-2025-4278, 8.7 CVSS skoruna sahip bir HTML enjeksiyon kusuru, saldırganların GitLab’ın arama işlevselliğine kötü amaçlı kod enjekte ederek tam hesap devralmasını sağlayabilmesine izin verebilir.
Güvenlik araştırmacısı Joaxcar, GitLab’ın Hackerone Bug Bounty programı aracılığıyla bu kritik kusuru keşfetti ve 18.0.2’den önce 18.0 ile başlayan tüm GitLab CE/EE sürümlerini etkiledi.
Bu tehdidi tamamlayan CVE-2025-2254, aynı CVSS skoru 8.7 ile bir siteler arası komut dosyası (XSS) güvenlik açığını temsil eder.
Bu kusur, saldırganların snippet izleyicisi içinde kötü amaçlı komut dosyaları yürütmelerini sağlayarak meşru kullanıcıları taklit etmelerini ve güvenlik bağlamlarında yetkisiz eylemler gerçekleştirmelerine olanak tanır.
Güvenlik açığı, GitLab CE/EE sürümlerini 17.10.8’den önce 17.9’dan etkiler.
CI/CD DOS saldırıları
GitLab Ultimate EE müşterileri, CVSS skoru 8.5 olan eksik bir yetkilendirme kırılganlığı olan CVE-2025-5121 aracılığıyla ek bir yüksek aralık tehdidi ile karşı karşıya.
Kusur, kimlik doğrulamalı saldırganların GitLab nihai örneğindeki herhangi bir projede gelecekteki tüm boru hatlarına kötü amaçlı CI/CD işleri enjekte etmesine izin verebilir.
Güvenlik açığı, GitLab Ultimate EE sürümlerini 17.11.4’ten önce 17.11’den ve 18.0.2’den önce 18.0’dan önce etkiler ve potansiyel olarak tüm yazılım geliştirme ve dağıtım süreçlerinden ödün verir.
Saldırganların sonsuz yönlendirme döngülerini tetikleyerek sunucu belleği tükenmesine neden olan CVE-2025-0673 (CVSS 7.5) dahil olmak üzere bu riskleri birleştirir.
Ek DOS vektörleri, her ikisi de 6.5 CVSS skorlarını taşıyan sırasıyla sınırsız Webhook jeton adlarını ve kart adlarını kullanan CVE-2025-1516 ve CVE-2025-1478’dir.
Bu güvenlik açıkları, 8.7 ve 8.13 sürümlerine dayanan GITLAB kurulumlarını etkiler ve bu da uzun süreli güvenlik zayıflıklarını gösterir.
Anında yama gerekli
GitLab, GitLab.com’un güvenlik düzeltmelerini zaten uyguladığını vurgulayarak, kendi kendini yöneten tüm kurulumlar için en son yama sürümlerine anında yükseltmeleri önerir.
Güvenlik açıkları, çeşitli altyapı konfigürasyonlarında kapsamlı iyileştirme çabaları gerektiren omnibus, kaynak kodu kurulumları ve dümen grafikleri dahil olmak üzere birden fazla dağıtım türünü kapsamaktadır.
GitLab, yama sürümünden 30 gün sonra güvenlik açığı ayrıntılarını kamuya açıklayan sorumlu bir açıklama politikasını izlediğinden, kuruluşlar hemen etkilenen sistemleri yükseltmeye öncelik vermelidir.
Şirket, müşteriye dönük tüm sistemlerin ve veri barındırma ortamlarının en yüksek güvenlik standartlarına uyması ve bu yamaları güvenli geliştirme ortamlarını korumak için kritik hale getirmesi gerektiğini savunuyor.
Güvenlik ekipleri, bu ciddi güvenlik açıklarının potansiyel kullanımı önlemek için bir sonraki kullanılabilir bakım penceresi sırasında bu güncellemeleri uygulamalıdır.
Canlı Kimlik Hırsızlık Saldırısı UN MASK & Anında Savunma – Ücretsiz Web Semineri