GitLab, hem Community Edition’ı hem de Enterprise Edition’ı etkileyen birden fazla güvenlik açığını gideren acil güvenlik yamaları yayınladı.
Şirket, saldırganların hassas bilgileri tehlikeye atmasına ve erişim kontrollerini atlamasına olanak tanıyabilecek kritik güvenlik sorunlarını düzeltmek için 18.5.2, 18.4.4 ve 18.3.6 sürümlerini yayımladı.
En endişe verici güvenlik açığı GitLab Duo’nun inceleme özelliğindeki hızlı enjeksiyon saldırılarıdır. Saldırganlar, gizli kötü amaçlı istemleri doğrudan birleştirme isteği yorumlarına enjekte edebilir.
Bu gizli talimatlar yapay zeka sistemini gizli konulardaki hassas bilgileri sızdırması için kandırıyor. Bu güvenlik açığı GitLab Enterprise Edition sürüm 17.9 ve üzerini etkileyerek gizli proje verilerinin yetkisiz kullanıcıların eline geçmesine neden olabilir.
Hızlı enjeksiyonun ötesinde GitLab, yüksekten düşük ciddiyete kadar değişen dokuz ek güvenlik açığını yamaladı.
| CVE Kimliği | Güvenlik Açığı Başlığı | Tip | Şiddet | CVSS Puanı |
|---|---|---|---|---|
| CVE-2025-11224 | K8s proxy’de siteler arası komut dosyası oluşturma sorunu | XSS | Yüksek | 7.7 |
| CVE-2025-11865 | İş akışlarında Yanlış Yetkilendirme sorunu | Yetkilendirmeyi Atlama | Orta | 6.5 |
| CVE-2025-2615 | GraphQL aboneliklerinde Bilgi İfşası sorunu | Bilgi Açıklaması | Orta | 4.3 |
| CVE-2025-7000 | Erişim kontrolünde Bilgi İfşası sorunu | Bilgi Açıklaması | Orta | 4.3 |
| CVE-2025-6945 | GitLab Duo incelemesinde İstemi Enjeksiyon sorunu | Hızlı Enjeksiyon | Düşük | 3.5 |
| CVE-2025-6171 | Paket API uç noktasında Bilgi İfşası sorunu | Bilgi Açıklaması | Düşük | 3.1 |
| CVE-2025-11990 | Şube adlarında İstemci Tarafı Yolu Geçişi sorunu | Yol Geçişi | Düşük | 3.1 |
| CVE-2025-7736 | GitLab Sayfalarında Uygunsuz Erişim Kontrolü sorunu | Erişim Kontrolü | Düşük | 3.1 |
| CVE-2025-12983 | Fiyatlandırmada hizmet reddi sorunu | Hizmet Reddi | Düşük | 3.1 |
Kubernetes proxy’sindeki bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı, kimliği doğrulanmış kullanıcıların kötü amaçlı komut dosyaları çalıştırmasına olanak tanıyarak 15.10 ve sonraki sürümleri etkiliyor.
İş akışlarındaki yetkilendirmenin atlanması, kullanıcıların diğer kullanıcılara ait yapay zeka akışlarını kaldırmasına olanak tanıyarak iş akışı bütünlüğünü tehlikeye atar. Bilginin ifşa edilmesindeki güvenlik açıkları da ciddi riskler oluşturur.
Saldırganlar hassas verilere birden fazla vektör aracılığıyla erişebilir: GraphQL abonelikleri oluşturan engellenen kullanıcılar, erişim kontrolü zayıflıkları nedeniyle şube adlarının yetkisiz olarak görüntülenmesi ve depo erişimi devre dışı bırakıldığında bile paketin API uç noktası aracılığıyla bilgi sızıntısı.
Ek güvenlik açıkları arasında şube adlarını etkileyen yol geçiş sorunları, GitLab Sayfalarında OAuth kimlik doğrulamasının atlanmasına izin veren hatalı erişim kontrolü ve özel hazırlanmış Markdown içeriği yoluyla hizmet reddi saldırıları yer alıyor.
GitLab, yamalı sürümlere hemen yükseltme yapmanızı şiddetle tavsiye eder. Şirket GitLab.com’u zaten güncelledi ve GitLab Dedicated müşterilerinin herhangi bir işlem yapmasına gerek yok.
Bu güvenlik açıkları müşteri veri güvenliğini doğrudan etkilediğinden, kendi kendine yönetilen kurulumlarda anında yükseltmelere öncelik verilmelidir. Yamalar, yükseltme işlemlerini etkileyebilecek veritabanı geçişlerini içerir.
Tek düğümlü bulut sunucuları güncellemeler sırasında kesinti yaşayacak, çok düğümlü kurulumlar ise uygun prosedürler kullanılarak sıfır kesinti süreli yükseltmeler uygulayabilir.
GitLab araştırmacıları çoğu güvenlik açığını HackerOne hata ödül programı aracılığıyla keşfetti. Şirket, güvenlik ayrıntılarını her yamadan 30 gün sonra kamuya açık sorun takipçisinde yayınlamayı taahhüt ediyor.
Etkilenen tüm kuruluşlar, artan bu güvenlik tehditlerine karşı korunmak için mevcut GitLab sürümlerini gözden geçirmeli ve gecikmeden yamaları dağıtmalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
