GITLab, kendi yönetilen kurulumlardan derhal dikkat gerektiren iki yüksek şiddetli siteler arası senaryo (XSS) kusurları ile Topluluk Sürümü (CE) ve Enterprise Edition (EE) platformunda altı güvenlik açıkına hitap eden kritik güvenlik yamaları yayınladı.
18.2.1, 18.1.3 ve 18.0.5 sürümleri aracılığıyla dağıtılan güvenlik güncellemesi, hassas bilgilere yetkisiz erişime izin verebilecek ve belirli dağıtım senaryolarında kötü amaçlı komut dosyası yürütülmesini sağlayabilecek güvenlik açıkları için düzeltmeler içerir.
Kritik güvenlik açıkları tanımlandı
Bu güvenlik sürümünde tanımlanan en şiddetli sorunlar, Gitlab’ın Kubernetes proxy işlevselliğini etkileyen siteler arası komut dosyaları çevresinde.
CVSS skoru 8.7 olan CVE-2025-4700, kimliği doğrulanmış saldırganların belirli koşullar altında istenmeyen içerik oluşturmayı tetiklemesine izin verebilecek yüksek şiddetli bir XSS güvenlik açığını temsil eder. Bu güvenlik açığı, yamalı sürümlerden önce 15.10’dan tüm GitLab CE/EE sürümlerini etkiler.
| CVE kimliği | Şiddet | CVSS Puanı | Tanım | Etkilenen sürümler |
| CVE-2025-4700 | Yüksek | 8.7 | Kubernetes Proxy’de XSS (CE/EE) | 15.10 – 18.2.0 |
| CVE-2025-4439 | Yüksek | 7.7 | CDNS ile Kubernetes Proxy’de XSS (CE/EE) | 15.10 – 18.2.0 |
| CVE-2025-7001 | Orta | 4.3 | API aracılığıyla bilgi maruziyeti (CE/EE) | 15.0 – 18.2.0 |
| CVE-2025-4976 | Orta | 4.3 | GitLab Duo’da Erişim Kontrolü (Yalnızca EE) | 17.0 – 18.2.0 |
| CVE-2025-0765 | Orta | 4.3 | Servis Masası E -posta Pozlama (CE/EE) | 17.9 – 18.2.0 |
| CVE-2025-1299 | Orta | 4.3 | Dağıtım İş Günlüğü Erişimi (CE/EE) | 15.4 – 18.2.0 |
İlgili yüksek şiddetli bir güvenlik açığı olan CVE-2025-4439 (CVSS 7.7), özellikle belirli içerik dağıtım ağları (CDN’ler) aracılığıyla sunulan GITLAB örneklerini etkiler, bu da kimlik doğrulamalı kullanıcıların belirli ağ konfigürasyonları yerinde olduğunda bölgeler arası senaryo saldırıları gerçekleştirmesini sağlar.
Her iki güvenlik açıkları da GitLab’ın Hackerone Bug Bounty programı aracılığıyla güvenlik araştırmacısı Joaxcar tarafından keşfedildi ve bildirildi.
Dört ilave orta yüzlük güvenlik açığı çeşitli bilgilerin açıklanması ve erişim kontrolü zayıflıklarını ele alır.
CVE-2025-7001, API aracılığıyla kaynak grubu bilgi erişimini etkiler ve potansiyel olarak ayrıcalıklı kullanıcıların kısıtlı kalması gereken verileri görüntülemesine izin verir.
Güvenlik açığı, hem CE hem de EE dağılımlarında 15.0’dan versiyonları etkiler.
GitLab Enterprise Edition kullanıcıları, saldırganların belirli koşullar altında GITLAB ikilisi yanıtları içindeki dahili notlara erişmesine izin verebilecek CVE-2025-4976 ile ek bir endişe ile karşı karşıya. Bu EE’ye özgü güvenlik açığı, 17.0’dan itibaren sürümleri etkiler.
GitLab, kendi kendini yöneten tüm kurulumların hemen en son yamalı sürümlere yükseltmesini şiddetle tavsiye eder.
Gitlab.com bu düzeltmeleri zaten uygularken, GitLab adanmış müşteriler hiçbir işlem gerektirmez.
Kuruluşlar, dış ağlara maruz kalan güncelleme sistemlerine, özellikle de Kubernetes proxy özelliklerini veya CDN konfigürasyonlarını kullananlara öncelik vermelidir.
Şirket, kamuya açık sorun izleyicileri aracılığıyla yayınlanmadan 30 gün sonra ayrıntılı güvenlik açığı bilgilerini yayınlayarak şeffaflık taahhüdünü sürdürmektedir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now