Community Edition ve Enterprise Edition platformlarındaki on önemli güvenlik açığını gideren 10 Aralık 2025’teki kritik güvenlik yamaları.
GitLab, birden fazla yüksek önem derecesine sahip güvenlik sorununu gidermek için güncellenmiş 18.6.2, 18.5.4 ve 18.4.6 sürümlerini yayımladı.
Yüksek Düzeyde Tehditler Tespit Edildi
Dört güvenlik açığı yüksek önem derecesi aldı ve derhal düzeltilmesi gerekiyor.
Güvenlik açığı manzarası dört adet yüksek önem derecesine sahip kusur, beş adet orta önem derecesine sahip sorun ve bir adet düşük önem derecesine sahip güvenlik açığı içermektedir.
Kritik sorunlardan dördü, siteler arası komut dosyası çalıştırma (XSS) saldırılarını ve diğer kullanıcılar adına yetkisiz eylemlere izin verebilecek uygunsuz kodlamayı içeriyor.
| CVE Kimliği | Güvenlik Açığı Türü | CVSS Puanı |
|---|---|---|
| CVE-2025-12716 | Siteler Arası Komut Dosyası Çalıştırma (XSS) | 8.7 |
| CVE-2025-8405 | Uygunsuz Kodlama / HTML Enjeksiyonu | 8.7 |
| CVE-2025-12029 | Siteler Arası Komut Dosyası Çalıştırma (XSS) | 8.0 |
| CVE-2025-12562 | Hizmet Reddi (DoS) | 7.5 |
| CVE-2025-11984 | Kimlik Doğrulama Baypası | 6.8 |
| CVE-2025-4097 | Hizmet Reddi (DoS) | 6.5 |
| CVE-2025-14157 | Hizmet Reddi (DoS) | 6.5 |
| CVE-2025-11247 | Bilgi Açıklaması | 4.3 |
| CVE-2025-13978 | Bilgi Açıklaması | 4.3 |
| CVE-2025-12734 | HTML Enjeksiyonu | 3.5 |
GitLab.com zaten yamalı sürümü çalıştırdığından, GitLab tüm kendi kendine yönetilen kurulumların hemen yükseltilmesini şiddetle önerir.
En ciddi güvenlik açıkları arasında Wiki işlevselliğindeki siteler arası komut dosyası oluşturma hatası ve güvenlik açığı raporlarındaki hatalı kodlama yer alıyor; her ikisinin de CVSS puanı 8,7.
Ek olarak, Swagger kullanıcı arayüzündeki bir XSS güvenlik açığı (CVSS 8.0) ve GraphQL hizmet reddi sorunu (CVSS 7.5) önemli riskler oluşturur.
GraphQL güvenlik açığı özellikle hizmet kesintilerini tetiklemek için karmaşıklık sınırlarını aşarak sorgular oluşturabilen kimliği doğrulanmamış saldırganlarla ilgilidir.
WebAuthn iki faktörlü kimlik doğrulama kullanıcılarını etkileyen bir kimlik doğrulama atlaması, orta düzeyde bir tehdit oluşturur. Kimliği doğrulanmış saldırganların güvenlik kontrollerini atlatmasına olanak sağlamak.
Üç hizmet reddi güvenlik açığı, ExifTool işlemeyi, Commit API’yi ve GraphQL uç noktalarını hedef alarak hizmet kullanılabilirliğini kesintiye uğratma potansiyeli taşıyor.
Ek sorunlar arasında hata mesajları aracılığıyla bilgilerin ifşa edilmesi ve birleştirme isteği başlıklarına HTML eklenmesi yer alır.
18.4.6’dan önceki, 18.5.4’ten önceki 18.5.x veya 18.6.2’den önceki 18.6.x sürümlerini çalıştıran kullanıcılar bu istismarlara karşı savunmasızdır.
Düzeltme eki, yükseltme zaman çizelgelerini etkileyebilecek veritabanı geçişlerini içerir. Tek düğümlü örnekler, geçişin tamamlanması sırasında kesinti yaşayacaktır.
Düzgün yapılandırılmış çok düğümlü dağıtımlar, sıfır kesinti süresi prosedürlerini kullanarak güncellemeleri hizmet kesintisi olmadan uygulayabilir.
Kuruluşlar, düzenli güvenlik hijyeni uygulamalarının bir parçası olarak bu güncellemelere öncelik vermelidir. GitLab Dedicated müşterilerinin herhangi bir işlem yapmasına gerek yoktur.
Etkilenen sürüm aralıklarına ve belirli yama notlarına ilişkin ek ayrıntılar, resmi GitLab sürüm belgelerinde mevcuttur.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
