GitLab Community Edition und Enterprise Edition sind über mehrere Sicherheitslücken angreifbar. Stimmen die Voraussetzungen, können sich Angreifer höhere Nutzerrechte verschaffen. Die Entwickler versichern, dass auf GitLab.com bereits dagegen geschützte Versionen laufen. Bei On-Premises-Installationen sollten Admins zeitnah handeln und die verfügbaren Patches installieren.

Geschieht das nicht, können Angreifer einer Warnmeldung der GitLab-Entwickler zufolge an sechs Sicherheitslücken ansetzen. Davon sind zwei (CVE-2024-9183, CVE-2025-12571) mit dem Bedrohungsgrad „hoch“ eingestuft. Im ersten Fall müssen Angreifer bereits authentifiziert sein. Ist das gegeben, können sie auf einem nicht näher ausgeführten Weg auf Zugangsdaten von Nutzern mit höheren Rechten zugreifen und Aktionen in deren Namen ausführen. Die zweite Schwachstelle ist ohne Authentifizierung ausnutzbar und führt zu einem DoS-Zustand.

Durch das erfolgreiche Ausnutzen der verbleibenden Lücken können unter anderem Informationen leaken. Die Entwickler versichern, die Schwachstellen in den Ausgaben 18.4.5, 18.5.3 und 18.6.1 geschlossen zu haben. Bislang gibt es keine Berichte, dass Angreifer bereits Instanzen attackieren.

Zuletzt haben die Entwickler vor rund einem Monat Lücken in der DevSecOps-Plattform geschlossen.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo

Original Link
Original Autor: Heise