GitLab önemli güvenlik güncellemeleri yayınladı. Yeni sürümler hem Community Edition (CE) hem de Enterprise Edition (EE) için 18.4.2, 18.3.4 ve 18.2.8’dir.
Bu güncellemeler, hizmet reddi (DoS) saldırılarına yol açabilecek ve yetkisiz erişime izin verebilecek çeşitli güvenlik açıklarını giderir.
Kendi kendini yöneten tüm GitLab kurulumlarının, potansiyel kesintileri azaltmak için derhal yükseltme yapmaları önemle tavsiye edilir. GitLab.com ve GitLab Dedicated müşterileri bu yamalar tarafından zaten tamamen korunmaktadır.
Yamalı sürümler, hem kimliği doğrulanmış hem de kimliği doğrulanmamış kullanıcıları etkileyen, yeni keşfedilen çeşitli güvenlik açıklarını giderir. Çeşitli saldırı vektörlerini kapsayan bu sorunlar, yama yapılmaması durumunda kod depoları ve geliştirme hatlarına yönelik devam eden riskin altını çiziyor.
GitLab’ın standart uygulaması, sorunların yalnızca yama dağıtımından 30 gün sonra kamuya açık olarak belgelenmesini sağlar ve güvenlik durumunu korumak için proaktif yükseltmelerin gerekliliğini vurgular.
Çoklu Güvenlik Açıkları Yamalı
Güvenlik araştırmacıları ve GitLab’ın dahili ekibi, bu güncellemede her biri benzersiz riskler oluşturan dört ana sorun belirledi:
CVE-2025-11340: GraphQL Mutasyon Yetkilendirmesini Atlama
Bu yüksek önem derecesine sahip güvenlik açığı (CVSS 7.7), salt okunur API belirteçlerine sahip kimliği doğrulanmış kullanıcıların, GraphQL mutasyonlarındaki yanlış kapsam belirleme nedeniyle güvenlik açığı kayıtları üzerinde yetkisiz yazma işlemleri gerçekleştirmesine olanak tanıdı.
İstismar, güvenlik açığı ayrıntılarının tahrif edilmesine, yönetim ve uyumluluk çabalarının zorlanmasına yol açabilir. Etkilenen sürümler GitLab EE 18.3 ila 18.3.4 ve 18.4 ila 18.4.2’yi içerir. GitLab tarafından dahili olarak keşfedildi.
CVE-2025-10004: GraphQL Blob İstekleri Yoluyla Hizmet Reddi
7,5 CVSS puanı alan bu uzak kusur, 13.12’den 18.2.8’e, 18.3’ten 18.3.4’e ve 18.4’ten 18.4.2’ye kadar olan sürümleri etkiledi. Saldırganlar, büyük depo blobları için özel hazırlanmış GraphQL istekleri göndererek sunucu kaynaklarını tüketebilir ve GitLab örneğinin yanıt vermemesine neden olabilir. Hiçbir kimlik doğrulamaya gerek yoktur, bu da saldırı yüzeyini önemli ölçüde genişletir.
CVE-2025-9825: GraphQL Aracılığıyla Manuel CI/CD Değişkenlerine Yetkisiz Erişim
Bu orta önemdeki hata (CVSS 5.0), yalnızca GraphQL API’sini sorgulayarak hassas manuel CI/CD değişkenlerini, proje üyeliği olmayan kimliği doğrulanmış kullanıcılara maruz bıraktı. Etkilenen sürümler 13.7 ile 18.2.8 arasında değişirken, 18.3 ve 18.4’ün önceden yamalı sürümleri de bulunuyor.
CVE-2025-2934: GitLab CE/EE’de Kötü Amaçlı Web Kancası Uç Noktaları aracılığıyla DoS
5.2’den 18.2.8’e kadar tüm sürümleri, 18.3.4’ten önceki 18.3 ve 18.4.2’den önceki 18.4 sürümlerini etkileyen bu orta dereceli risk (CVSS 4.3), Ruby Core kütüphanesindeki bir kusurdan kaynaklanıyordu. Saldırganlar, web kancalarını kötü amaçlı HTTP yanıtları gönderecek şekilde yapılandırarak GitLab sunucularının istikrarını bozabilir. Sorun Temmuz 2025’te sorumlu bir şekilde açıklandı.
| CVE Kimliği | Güvenlik Açığı Başlığı | Şiddet | CVSS Puanı | Etkilenen Sürümler |
|---|---|---|---|---|
| CVE-2025-11340 | GraphQL Mutasyonları Kimlik Doğrulama Baypası (EE) | Yüksek | 7.7 | 18.3 – 18.3.4, 18.4–18.4.2 |
| CVE-2025-10004 | GraphQL Blob Türü (CE/EE) aracılığıyla DoS | Yüksek | 7.5 | 13.12–18.2.8, 18.3–18.3.4, 18.4–18.4.2 |
| CVE-2025-9825 | Manuel İşler Kimlik Doğrulama Kusuru (CE/EE) | Orta | 5.0 | 13.7–18.2.8, 18.3–18.3.4, 18.4–18.4.2 |
| CVE-2025-2934 | Web Kancaları aracılığıyla DoS (CE/EE) | Orta | 4.3 | 5.2–18.2.8, 18.3–18.3.4, 18.4–18.4.2 |
Azaltmalar
GitLab, kendi kendine yönetilen veya şirket içi dağıtımları yöneten tüm kuruluşların, sistemin kapalı kalma süresini ve yetkisiz veri manipülasyonunu önlemek için derhal yeni yayımlanan sürümlere yükseltme yapmalarını şiddetle tavsiye eder.
Güncelleştirmelerin geciktirilmesi kesinti, veri sızıntısı ve açıklardan yararlanmaya dayalı yükseltme saldırıları riskini artırır. GitLab, resmi sürümlerinde ve güvenlik bloglarında en iyi uygulamaları ve yükseltme talimatlarını sağlar.
Kaynak kodu, CI/CD ve işbirliğine dayalı yazılım iş akışı yönetimi için GitLab’a güvenen geliştirme ekipleri ve kuruluşlar için yama hijyeninin hızlı bir şekilde sağlanması çok önemlidir.
Cyber Awareness Month Offer: Upskill With 100+ Premium Cybersecurity Courses From EHA's Diamond Membership: Join Today
