GitLab, çeşitli yüksek önemdeki hizmet reddi (DoS) güvenlik açıkları da dahil olmak üzere çok sayıda kritik güvenlik açığını gidermek amacıyla Community Edition (CE) ve Enterprise Edition (EE) için 18.5.1, 18.4.3 ve 18.3.5 yama sürümlerini acilen yayımladı.
Bu güncellemeler, kimliği doğrulanmış kullanıcıları etkileyen erişim kontrolü ve yetkilendirme hatalarının yanı sıra, özel hazırlanmış yüklerin sistemleri bunaltmasına neden olan sorunları giderir.
Şirket, kendi kendini yöneten tüm kurulumlar için anında yükseltmeleri vurguluyor ve GitLab’ın[.]com zaten korunmaktadır ve Özel müşterilerin herhangi bir işlem yapmasına gerek yoktur.
En acil düzeltmeler arasında, uzak saldırganların GitLab örneklerini kimlik doğrulama olmadan çökertmesine olanak tanıyan, yüksek veya orta önem derecesine sahip üç DoS güvenlik açığı yer alıyor.
Bunlardan ilki, CVE-2025-10497, kimliği doğrulanmamış kullanıcıların kaynak tükenmesini ve hizmet reddini tetiklemek için hazırlanmış veriler gönderdiği olay toplamayı hedefliyor.
Yama öncesinde 17.10’dan itibaren CE/EE sürümlerini etkileyen bu sürüm, düşük karmaşıklığı ve yüksek kullanılabilirlik etkisini vurgulayan 7,5 CVSS puanına sahiptir.
Benzer şekilde, CVE-2025-11447, GraphQL isteklerinde JSON doğrulamasından yararlanarak kimliği doğrulanmamış aktörlerin 11.0 sürümünden itibaren sistemi kötü amaçlı yüklerle doldurmasına olanak tanıyor.
Bu kusur aynı zamanda CVSS’de 7,5 puan alarak geniş bir kurulum yelpazesini etkiler ve potansiyel olarak API yanıtlarını durdurur. Orta şiddette bir DoS sorunu olan CVE-2025-11974, kimliği doğrulanmamış kaynaklardan gelen büyük dosyaların aşırı kaynak tükettiği belirli API uç noktalarına dosya yükleme sırasında ortaya çıkar.
11.7’den sonraki sürümler, bazı senaryolarda düşük ayrıcalıklı erişim gerektirse de CVSS 6.5 ile savunmasızdır.
Bu güvenlik açıkları GitLab’ın HackerOne programı aracılığıyla rapor edildi veya dahili olarak keşfedildi; bu da platformun olay işleme, veri doğrulama ve yükleme mekanizmalarına açık olduğunu gösteriyor.
| CVE Kimliği | Tanım | Şiddet | CVSS Puanı | Etkilenen Sürümler (belirtilmedikçe CE/EE) |
|---|---|---|---|---|
| CVE-2025-10497 | Etkinlik koleksiyonunda DoS | Yüksek | 7.5 | 17.10 18.3.5’ten önce, 18.4 18.4.3’ten önce, 18.5 18.5.1’den önce |
| CVE-2025-11447 | JSON doğrulamasında DoS | Yüksek | 7.5 | 11.0, 18.3.5’ten önce, 18.4, 18.4.3’ten önce, 18.5, 18.5.1’den önce |
| CVE-2025-11974 | Yükleme sırasında DoS | Orta | 6.5 | 11.7, 18.3.5’ten önce, 18.4, 18.4.3’ten önce, 18.5, 18.5.1’den önce |
DoS tehditlerinin ötesinde yamalar, EE için koşucu API’sinde yüksek önem derecesine sahip uygunsuz erişim kontrolü olan CVE-2025-11702 gibi daha yüksek etkili sorunları düzeltir ve kimliği doğrulanmış kullanıcıların 8,5 CVSS’ye sahip projelerdeki koşucuları ele geçirmesine olanak tanır.
CVE-2025-11971, CE işlem hattı yapılarındaki yanlış yetkilendirmeyi düzelterek taahhüt manipülasyonu (CVSS 6.5) yoluyla yetkisiz yürütmelere olanak tanır.
Daha düşük önem derecesine sahip kusurlar arasında EE grup üyeliklerindeki iş mantığı hataları (CVE-2025-6601, CVSS 3.8) ve hızlı eylemlerde eksik yetkilendirmeler (CVE-2025-11989, CVSS 3.7) yer alır ve bunlar istenmeyen erişime veya komut yürütülmesine yol açabilir.
Bu düzeltmeler, GitLab’ın yılda iki kez yayınlanan yama programıyla uyumludur ve tüm ayrıntılar yayınlanmadan 30 gün sonra sorun izleyicide kamuya açıklanır. Güncellemelerdeki hata düzeltmeleri, Redis gem’in sürüm düşürmelerini, bağlantı havuzu hatalarını ve sürümler arasındaki coğrafi yönlendirme sızıntılarını giderir.
Azaltmalar
GitLab, Omnibus, kaynak ve Helm dağıtımları için geçerli olan bu riskleri azaltmak için etkilenen tüm kendi kendine yönetilen örneklerin derhal yükseltilmesini şiddetle tavsiye ediyor.
Düzenli yama uygulama gibi en iyi uygulamaları takip etmek, el kitaplarında da belirtildiği gibi güvenlik hijyenini artırır. Henüz rapor edilmiş herhangi bir açık olmadığından proaktif güncellemeler, geliştirme iş akışlarındaki olası aksaklıkları önler.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
