GITLab, şu anda hemen konuşlandırılacak olan 18.2.1, 18.1.3 ve 18.0.5 sürümleri ile Topluluk Sürümü (CE) ve Enterprise Edition (EE) platformlarında birden fazla güvenlik açıkına hitap eden kritik güvenlik yamaları yayınladı.
Sürüm, Kubernetes proxy işlevselliği için önemli riskler oluşturan iki yüksek aralıklı siteler arası komut dosyası (XSS) sorunu da dahil olmak üzere altı farklı güvenlik açığı için düzeltmeler içeriyor.
Key Takeaways
1. GitLab fixed 6 vulnerabilities including 2 high-severity XSS flaws in latest versions.
2. Critical XSS vulnerabilities target Kubernetes proxy (CVSS 8.7-7.7).
3. Self-managed installations must upgrade immediately.
Bu yamalar, Gitlab’ın Hackerone Bug Bounty programı aracılığıyla keşfedilen güvenlik açıklarına koordineli bir yanıtı temsil eder ve kendi kendini yöneten tüm kurulumlar için hemen eylem önerilir.
Kubernetes proxy güvenlik açıkları
Bu yama döngüsünde ele alınan en şiddetli güvenlik açıkları, Gitlab’ın Kubernetes proxy işlevselliğini hedefleyen siteler arası komut dosyası saldırılarını içerir.
CVSS skoru 8.7 ile derecelendirilen CVE-2025-4700, Kubernetes Proxy özelliğini etkiler ve potansiyel olarak kimlik doğrulamalı saldırganların istenmeyen içerik oluşturmayı tetiklemesine izin vererek belirli koşullar altında XSS’ye yol açabilir.
Güvenlik açığı, mevcut yamalardan önce 15.10’dan tüm GitLab CE/EE sürümlerini etkiler.
Buna ek olarak, CVE-2025-4439, CVSS puanı 7.7 taşıyan içerik dağıtım ağları (CDNS) aracılığıyla sunulan örnekleri özellikle etkileyen ilgili bir XSS sorununu ele almaktadır.
Her iki güvenlik açıkları da güvenlik araştırmacısı Joaxcar tarafından Hackerone platformu aracılığıyla keşfedildi ve GitLab’ın kritik güvenlik kusurlarını tanımlamadaki hata ödül programının etkinliğini vurguladı.
Bilgi Açıklama ve Erişim Kontrolü Sorunları
Her biri 4.3 CVSS skoru taşıyan dört orta-şiddetli güvenlik açıkları güvenlik yaması kadrosunu tamamlar.
CVE-2025-7001, Resource_group API erişimini etkileyen hassas bilgi sorununun maruz kalmasını ele alırken, CVE-2025-4976 özellikle GitLab ikilisi yanıtlarındaki iç notalara uygunsuz erişim kontrolünü sabitleyerek GitLab Enterprise Edition kullanıcılarını etkilemektedir.
Kalan güvenlik açıkları, CVE-2025-0765 ve CVE-2025-1299, sırasıyla özel hizmet masası e-posta adreslerine ve dağıtım iş günlüklerine yetkisiz erişimi ele almaktadır.
Bu güvenlik açıkları, araştırmacılar IAMGK808, Rogerace ve PWNIE ile sorumlu açıklama yoluyla keşif sürecine katkıda bulunan Gitlab’ın güvenlik ekibi tarafından üstlenilen kapsamlı güvenlik incelemesini toplu olarak göstermektedir.
| CVE | Başlık | CVSS 3.1 puanı | Şiddet |
| CVE-2025-4700 | Siteler Arası Komut Dosyası Sorunu Gitlab CE/EE’de Kubernetes Proxy’yi Etkiler | 8.7 | Yüksek |
| CVE-2025-4439 | CDNS kullanarak Gitlab CE/EE’deki Kubernetes Proxy’yi Etkiler | 7.7 | Yüksek |
| CVE-2025-7001 | Hassas bilgilerin yetkisiz bir aktör sorununa maruz kalması, GitLab CE/EE’yi etkiler | 4.3 | Orta |
| CVE-2025-4976 | Yanlış Erişim Kontrol Sorunu GitLab EE’yi Etkiler | 4.3 | Orta |
| CVE-2025-0765 | Hassas bilgilerin yetkisiz bir aktör sorununa maruz kalması, GitLab CE/EE’yi etkiler | 4.3 | Orta |
| CVE-2025-1299 | Yanlış Erişim Kontrol Sorunu GitLab CE/EE’yi Etkiler | 4.3 | Orta |
GitLab, GitLab’ın vurgulayarak en son yama sürümlerine derhal yükseltilmesini şiddetle tavsiye eder.Com zaten yamalı sürümleri çalıştırırken, GitLab adanmış müşteriler hiçbir işlem gerektirmez.
Şirket, ikinci ve dördüncü Çarşamba günleri iki ayda bir planlanmış bir sürüm döngüsü sürdürüyor ve bu sürümün gösterdiği gibi yüksek şiddetli güvenlik açıkları için ek geçici kritik yamalar var.
Güvenlik açığı detayları, GitLab’ın sorun izleyicisinde yayınlanmadan 30 gün sonra açıklanacak ve şeffaflığı korurken, sistem yöneticilerinin gerekli yamaları uygulamalarına yeterli zaman sağlar.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi