GITLAB, saldırganların hesapları devralmasını ve gelecekteki boru hatlarında kötü niyetli işler enjekte etmesini sağlayanlar da dahil olmak üzere, şirketin DevSecops platformundaki birden fazla güvenlik açıkını ele almak için güvenlik güncellemeleri yayınladı.
Şirket, bu güvenlik kusurlarını ele almak için GITLAB Community ve Enterprise Sürümleri 18.0.2, 17.11.4 ve 17.10.8’i yayınladı ve tüm yöneticileri hemen yükseltmeye çağırdı.
Şirket, “Bu sürümler önemli hata ve güvenlik düzeltmeleri içeriyor ve kendi kendini yöneten tüm GITLAB kurulumlarının derhal bu sürümlerden birine yükseltilmesini şiddetle tavsiye ediyoruz.” “Gitlab.com zaten yamalı versiyonu çalıştırıyor. GitLab adanmış müşterilerin harekete geçmesine gerek yok.”
Çarşamba günü, GITLAB, CVE-2025-4278 olarak izlenen bir HTML enjeksiyon sorunu düzenledi ve bu da uzak saldırganların arama sayfasına kötü amaçlı kod enjekte ederek hesapları devralmasına izin verebilir.
Ayrıca GitLab Ultimate EE’yi etkileyen ve uzaktan tehdit aktörlerinin herhangi bir projenin gelecekteki CI/CD borularına kötü niyetli CI/CD işlerini enjekte etmesine izin veren eksik bir yetkilendirme sorunu (CVE-2025-5121) için yamalar yayınladı.
GitLab boru hatları, kullanıcıların kod değişikliklerini sırayla oluşturmasını, test etmelerini veya dağıtmasını veya işlemleri ve görevleri otomatik olarak paralel olarak çalıştırmasını sağlayan sürekli bir entegrasyon/sürekli dağıtım (CI/CD) sistem özelliğidir.
Bununla birlikte, başarılı sömürü, saldırganların GITLAB nihai lisansı ile GITLAB örneklerine doğru erişim sağlamasını gerektirir.
Şirket ayrıca, başarılı saldırganların meşru bir kullanıcı bağlamında harekete geçmesine izin verebilecek bir siteler arası komut dosyası (CVE-2025-2254) ve kötü niyetli aktörlerin, meşru kullanıcılara bellek tükenmesini tetiklemesine izin verebilecek bir hizmet reddi (CVE-2025-0673), meşru kullanıcılara neden olabilecek bir hizmet reddi (CVE-2025-0673) yamaladı.
GITLAB depoları, GitLab depolarını yılın başından beri tehlikeye atan çokuluslu otomobil kiralama şirketi Europcar Mobility Group ve eğitim devi Pearson tarafından bildirilen son ihlaller tarafından kanıtlandığı gibi, içerdikleri hassas bilgiler ve veriler nedeniyle genellikle saldırılara yöneliktir.
GitLab’ın Devsecops platformu 30 milyondan fazla kayıtlı kullanıcıya sahiptir ve Goldman Sachs, Airbus, T-Mobile, Lockheed Martin, Nvidia ve UBS dahil olmak üzere Fortune 100 şirketlerinin% 50’sinden fazlası tarafından kullanılmaktadır.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.