GitLab, Community Edition (CE) ve Enterprise Edition (EE) genelinde dokuz güvenlik açığını gideren kritik güvenlik yamaları yayınladı; bunlar arasında GitLab Duo’da gizli sorunlardan hassas bilgilerin açığa çıkmasına neden olabilecek endişe verici bir hızlı ekleme kusuru da var.
Şirket, kendi kendini yöneten tüm kurulumları derhal 18.5.2, 18.4.4 veya 18.3.6 sürümlerine yükseltmeye çağırıyor.
En endişe verici güvenlik açığı, GitLab Duo’nun inceleme özelliğindeki, kimliği doğrulanmış kullanıcıların, birleştirme isteği yorumlarına gizli istemler enjekte ederek gizli konulardaki hassas bilgileri sızdırmasına olanak tanıyan bir hızlı enjeksiyon kusuru olan CVE-2025-6945’tir.
| CVE Kimliği | Güvenlik Açığı Başlığı | Şiddet | CVSS Puanı |
|---|---|---|---|
| CVE-2025-11224 | K8s proxy’de siteler arası komut dosyası çalıştırma | Yüksek | 7.7 |
| CVE-2025-11865 | İş akışlarında yanlış yetkilendirme | Orta | 6.5 |
| CVE-2025-2615 | GraphQL aboneliklerinde bilgilerin ifşa edilmesi | Orta | 4.3 |
| CVE-2025-7000 | Erişim kontrolünde bilgilerin ifşa edilmesi | Orta | 4.3 |
| CVE-2025-6945 | GitLab Duo incelemesinde hızlı enjeksiyon | Düşük | 3.5 |
| CVE-2025-6171 | Paket API’sinde bilgilerin açıklanması | Düşük | 3.1 |
| CVE-2025-11990 | Dal adlarında istemci tarafı yol geçişi | Düşük | 3.1 |
| CVE-2025-7736 | GitLab Sayfalarında uygunsuz erişim kontrolü | Düşük | 3.1 |
| CVE-2025-12983 | İndirimde hizmet reddi | Düşük | 3.1 |
Bu saldırı, giriş doğrulaması başarısız olduğunda yapay zeka destekli özelliklerin nasıl güvenlik risklerine dönüşebileceğini gösteriyor.
Düzeltme eki grubu ayrıca Kubernetes proxy işlevinde, kimliği doğrulanmış kullanıcıların hatalı giriş doğrulaması nedeniyle depolanan XSS saldırılarını yürütmesine olanak verebilecek yüksek önem derecesine sahip bir siteler arası komut dosyası çalıştırma güvenlik açığı (CVE-2025-11224) içerir.
Bu, GitLab’ın 15.10’a kadar olan sürümlerini etkileyerek eski örnekleri çalıştıran kuruluşlar için önemli bir riske maruz kalma penceresi oluşturur.
Ek olarak GitLab, hassas verilere yetkisiz erişime izin verebilecek iki orta önemde bilgi ifşa sorununu da ele aldı.
CVE-2025-2615, engellenen kullanıcıların GraphQL WebSocket abonelikleri aracılığıyla gizli bilgilere erişmesine olanak tanır.
Aynı zamanda CVE-2025-7000, yetkisiz kullanıcıların, ilgili birleştirme istekleriyle birlikte proje sorunlarına erişerek gizli şube adlarını görüntülemesine olanak tanır. Bu kusurlar GitLab’ın erişim kontrol mekanizmalarındaki boşlukları vurgulamaktadır.
Enterprise Edition kullanıcıları CVE-2025-11865’e dikkat etmelidir. Bu orta önemdeki yetkilendirme atlaması, kullanıcıların başka bir kullanıcının Duo iş akışlarını kaldırmasına olanak tanır.
Bu güvenlik açığı, iş akışı yönetim sistemlerinde daha sıkı izin doğrulama ihtiyacının altını çiziyor.
Geriye kalan altı güvenlik açığı daha düşük önem derecelerine sahip ancak yine de dikkat edilmesi gerekiyor. CVE-2025-6171, kimliği doğrulanmış raporlayıcıların, paketin API uç noktası aracılığıyla kısıtlanmış şube adlarını ve işlem hattı ayrıntılarını görüntülemesine olanak tanır.
CVE-2025-7736, kullanıcıların erişim kontrollerini atlamasına ve OAuth sağlayıcı kimlik doğrulaması yoluyla GitLab Sayfaları içeriğine erişmesine olanak tanır.
CVE-2025-11990, depo referansları ve yönlendirme işleme zayıflıkları yoluyla istemci tarafında yol geçiş riski sunuyor.
Aynı zamanda CVE-2025-12983, iç içe biçimlendirme desenlerine sahip özel hazırlanmış Markdown aracılığıyla hizmet reddi koşullarını tetikleyebilir.
GitLab, etkilenen tüm kurulumlar için derhal eylem yapılmasını önerir. GitLab.com kullanıcıları zaten yamalı sürümleri çalıştırıyor ve Özel müşterilerin herhangi bir işlem yapmasına gerek yok.
HackerOne’ın hata ödül programına katılan güvenlik araştırmacıları, güvenlik açıklarının çoğunu rapor ederek koordineli açıklamanın değerini ortaya koydu.
Şirket ayrıca libxslt’yi 1.1.43 sürümüne güncelleyerek CVE-2024-55549 ve CVE-2025-24855 dahil olmak üzere ek güvenlik sorunlarını giderdi.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak olarak ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.