Κρίσιμες ενημερώσεις κώδικα ασφαλείας στις 10 Δεκεμβρίου 2025, που αντιμετωπίζουν δέκα σημαντικές ευπάθειες στις πλατφόρμες Community Edition και Enterprise Edition.
Το GitLab κυκλοφόρησε ενημερωμένες εκδόσεις 18.6.2, 18.5.4 και 18.4.6 για την αντιμετώπιση πολλαπλών ζητημάτων ασφαλείας υψηλής σοβαρότητας.
Εντοπίστηκαν απειλές υψηλής σοβαρότητας
Τέσσερα τρωτά σημεία έλαβαν βαθμολογίες υψηλής σοβαρότητας και απαιτούν άμεση αποκατάσταση.
Το τοπίο ευπάθειας περιλαμβάνει τέσσερα ελαττώματα υψηλής σοβαρότητας, πέντε προβλήματα μέσης σοβαρότητας και μία ευπάθεια χαμηλής σοβαρότητας.
Τέσσερα από τα κρίσιμα ζητήματα περιλαμβάνουν επιθέσεις δέσμης ενεργειών μεταξύ τοποθεσιών (XSS) και ακατάλληλη κωδικοποίηση που θα μπορούσαν να επιτρέψουν μη εξουσιοδοτημένες ενέργειες για λογαριασμό άλλων χρηστών.
| Αναγνωριστικό CVE | Τύπος ευπάθειας | Βαθμολογία CVSS |
|---|---|---|
| CVE-2025-12716 | Σενάρια μεταξύ τοποθεσιών (XSS) | 8.7 |
| CVE-2025-8405 | Λανθασμένη Κωδικοποίηση / Έγχυση HTML | 8.7 |
| CVE-2025-12029 | Σενάρια μεταξύ τοποθεσιών (XSS) | 8.0 |
| CVE-2025-12562 | Άρνηση υπηρεσίας (DoS) | 7.5 |
| CVE-2025-11984 | Παράκαμψη ελέγχου ταυτότητας | 6.8 |
| CVE-2025-4097 | Άρνηση υπηρεσίας (DoS) | 6.5 |
| CVE-2025-14157 | Άρνηση υπηρεσίας (DoS) | 6.5 |
| CVE-2025-11247 | Αποκάλυψη πληροφοριών | 4.3 |
| CVE-2025-13978 | Αποκάλυψη πληροφοριών | 4.3 |
| CVE-2025-12734 | Έγχυση HTML | 3.5 |
Το GitLab συνιστά ανεπιφύλακτα να αναβαθμιστούν άμεσα όλες οι αυτοδιαχειριζόμενες εγκαταστάσεις, καθώς το GitLab.com εκτελεί ήδη την ενημερωμένη έκδοση.
Τα πιο σοβαρά τρωτά σημεία περιλαμβάνουν ένα ελάττωμα δέσμης ενεργειών μεταξύ τοποθεσιών στη λειτουργικότητα του Wiki και ακατάλληλη κωδικοποίηση σε αναφορές ευπάθειας, και τα δύο με βαθμολογία CVSS 8,7.
Επιπλέον, μια ευπάθεια XSS στο Swagger UI (CVSS 8.0) και ένα ζήτημα άρνησης υπηρεσίας GraphQL (CVSS 7.5) ενέχουν σημαντικούς κινδύνους.
Η ευπάθεια GraphQL αφορά ιδιαίτερα τους εισβολείς που δεν έχουν πιστοποιηθεί, οι οποίοι μπορούν να δημιουργήσουν ερωτήματα παρακάμπτοντας τα όρια πολυπλοκότητας για να ενεργοποιήσουν διακοπές στην υπηρεσία.
Μια παράκαμψη ελέγχου ταυτότητας που επηρεάζει τους χρήστες ελέγχου ταυτότητας δύο παραγόντων του WebAuthn αποτελεί απειλή μεσαίας σοβαρότητας. Επιτρέποντας στους επιτιθέμενους να παρακάμψουν τους ελέγχους ασφαλείας.
Τρεις ευπάθειες άρνησης υπηρεσίας στοχεύουν την επεξεργασία ExifTool, το Commit API και τα τελικά σημεία GraphQL, δυνητικά διαταράσσοντας τη διαθεσιμότητα της υπηρεσίας.
Πρόσθετα ζητήματα περιλαμβάνουν την αποκάλυψη πληροφοριών μέσω μηνυμάτων σφάλματος και την εισαγωγή HTML στους τίτλους αιτημάτων συγχώνευσης.
Οι χρήστες που εκτελούν εκδόσεις πριν από 18.4.6, 18.5.x πριν από 18.5.4 ή 18.6.x πριν από 18.6.2 είναι ευάλωτοι σε αυτά τα exploit.
Η ενημερωμένη έκδοση κώδικα περιλαμβάνει μετεγκαταστάσεις βάσης δεδομένων που ενδέχεται να επηρεάσουν τα χρονοδιαγράμματα αναβάθμισης. Οι εμφανίσεις ενός κόμβου θα αντιμετωπίσουν χρόνο διακοπής λειτουργίας κατά την ολοκλήρωση της μετεγκατάστασης.
Οι σωστά διαμορφωμένες αναπτύξεις πολλών κόμβων μπορούν να εφαρμόσουν ενημερώσεις χωρίς διακοπή της υπηρεσίας χρησιμοποιώντας διαδικασίες μηδενικού χρόνου διακοπής λειτουργίας.
Οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα σε αυτές τις ενημερώσεις ως μέρος των τακτικών πρακτικών υγιεινής ασφάλειας. Οι αποκλειστικοί πελάτες του GitLab δεν απαιτούν ενέργειες.
Πρόσθετες λεπτομέρειες σχετικά με τα εύρη εκδόσεων που επηρεάζονται και συγκεκριμένες σημειώσεις ενημέρωσης κώδικα είναι διαθέσιμες στο επίσημο GitLab ελευθέρωση απόδειξη με έγγραφα.
Related Posts
Η νέα επίθεση phishing αξιοποιεί δημοφιλείς επωνυμίες για τη συλλογή διαπιστευτηρίων σύνδεσης
Χάκερ που χρησιμοποιούν Leverage Tuoni C2 Framework Tool για να παραδίδουν μυστικά ωφέλιμα φορτία στη μνήμη
Χάκερ που εκμεταλλεύονται ευπάθειες στο Ivanti Connect Secure για να αναπτύξουν κακόβουλο λογισμικό MetaRAT
