Linux yöneticilerinden, GitLab’da siteler arası komut dosyası çalıştırmayı, yetkilendirmeyi atlamayı ve kendi kendine yönetilen örneklerde hizmet reddini etkinleştirebilecek kusurlar da dahil olmak üzere birden fazla güvenlik açığının ortaya çıkmasından sonra derhal güncelleme yapmaları isteniyor.
En son yama sürümleri olan GitLab 18.7.1, 18.6.3 ve 18.5.5, çeşitli hata düzeltmeleri ve bağımlılık güncellemelerinin yanı sıra bu güvenlik sorunlarını da ele alıyor ve halihazırda GitLab.com’da dağıtılıyor.
GitLab güvenlik güncellemesine genel bakış
GitLab, ayda iki kez düzenli yama sürümlerinin bir parçası olarak güvenlik düzeltmelerinin yanı sıra kritik sorunlar için anlık yamalar yayınlar ve tüm müşterilerin desteklenen şubeleri için en son yamayı kullanmalarını önerir.
Yeni yayımlanan sürümler, GitLab Flavored Markdown, Web IDE, Duo İş Akışları, AI GraphQL uç noktaları, içe aktarma işlevselliği ve çalıştırıcı yönetimi gibi temel özellikleri etkileyen güvenlik açıklarını giderir.
| CVE Kimliği | Tanım | CVSS v3.1 |
| CVE-2025-9222 | Kurban tarayıcılarda komut dosyasının yürütülmesine olanak tanıyan, hazırlanmış Markdown yer tutucuları aracılığıyla saklanan XSS. | 8,7 (Yüksek) |
| CVE-2025-13761 | Kimliği doğrulanmamış bir saldırganın, hazırlanmış bir web sayfası aracılığıyla kimliği doğrulanmış bir kullanıcının tarayıcısında kod yürütmesine olanak tanıyan XSS. | 8,0 (Yüksek) |
| CVE-2025-13772 | Eksik yetkilendirme, kullanıcıların yapay zeka modeli ayarlarına yetkisiz ad alanlarından erişmesine olanak tanır. | 7.1 (Yüksek) |
| CVE-2025-13781 | Eksik yetkilendirme, örnek genelindeki AI sağlayıcı ayarlarının değiştirilmesine olanak tanır. | 6,5 (Orta) |
| CVE-2025-10569 | Kimliği doğrulanmış kullanıcılar, harici API çağrılarına verilen yanıtlar yoluyla hizmet reddini tetikleyebilir. | 6,5 (Orta) |
| CVE-2025-11246 | Yetersiz erişim kontrolü ayrıntı düzeyi, kullanıcıların proje çalıştırıcılarını ilgisiz projelerden kaldırmasına olanak tanır. | 5.4 (Orta) |
| CVE-2025-3950 | Varlık proxy’sini atlayan özel hazırlanmış görüntüler aracılığıyla bağlantı ayrıntılarının sızdırılması yoluyla bilgilerin ifşa edilmesi. | 3,5 (Düşük) |
Bu güncellemeler, bir ürün türü açıkça hariç tutulmadığı sürece, yani kendi kendini yöneten ortamların çoğunun eylem gerektirmediği sürece, tüm dağıtım türleri için çok amaçlı paketler, kaynak kurulumları, Dümen grafikleri ve diğerleri için geçerlidir.
En ciddi sorunlar arasında, saldırganların GitLab kullanıcılarının tarayıcılarında rastgele JavaScript çalıştırmasına olanak tanıyan, depolanan ve yansıtılan siteler arası komut dosyası çalıştırma yer alır.
Duo İş Akışlarındaki eksik yetkilendirme kontrolleri ve AI GraphQL mutasyonları, düşük ayrıcalıklı kullanıcıların, izin verilen ad alanları dışındaki AI yapılandırmasına erişmesine veya bunları değiştirmesine olanak tanıyabilir.
Diğer kusurlar arasında içe aktarma işlevinde hizmet reddi, GraphQL çalıştırıcı güncellemeleri için yetersiz erişim kontrolü ayrıntı düzeyi ve hassas bağlantı bilgilerini sızdırabilecek Denizkızı diyagramı oluşturma yoluyla bilgilerin ifşa edilmesi yer alıyor.
Bu sorunlar birlikte proje verilerinin bütünlüğünü, yapılandırma ayrıntılarının gizliliğini ve etkilenen sürümlerde GitLab hizmetlerinin kullanılabilirliğini tehdit ediyor.
GitLab, bu güvenlik açıklarını azaltmak için tüm yöneticilere mümkün olan en kısa sürede 18.7.1, 18.6.3 veya 18.5.5 serisindeki en son yamaya yükseltme yapmalarını şiddetle tavsiye eder.
Tek düğümlü örnekler, yükseltme sırasında veritabanı geçişleri nedeniyle kesinti beklemelidir; çok düğümlü ortamlar ise hizmet kesintisini önlemek için GitLab’ın sıfır kesinti süresi prosedürlerini izleyebilir.
Yöneticiler ayrıca yama sürümlerini takip etmek, harici erişimi güçlendirmek ve yamalı güvenlik açıklarının açığa çıkardığı özelliklerdeki olağandışı etkinlikleri izlemek de dahil olmak üzere örneklerin güvenliğini sağlamaya yönelik GitLab tarafından belgelenen en iyi uygulamaları incelemelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.