A GitLab sürgeti a felhasználókat, hogy frissítsenek a tárolókat és szolgáltatásokat érintő, magas kockázatú hibák foltozása után

A GitLab új javítócsomag frissítéseket adott ki, amelyek több nagy súlyosságú biztonságot biztonsági réseket, amelyek a Community Edition (CE) és Enterprise Edition (EE) platformokat érintik. A frissítések a 18.8.4, 18.7.4 és 18.6.6 verziószámmal érkeznek, a vállalat határozottan javasolja, hogy minden saját kezelésű telepítés azonnal frissítsen. A GitLab már futtatja a javított buildeket, míg a GitLab Dedicated ügyfeleknek nem kell lépéseket tenniük.

A legkritikusabb megoldott problémák között van a CVE-2025-7659, egy magas súlyosságú (CVSS 8.0) hiba, amely a GitLab webes IDE-jének hiányos érvényesítését érinti. A GitLab szerint a sebezhetőség lehetővé tette volna a nem hitelesített támadók számára, hogy hozzáférési jelszavakat lopjanak, és potenciálisan bejussanak a privát tárolókba. Több szolgálatmegtagadási sebezhetőséget is kezeltek, köztük a CVE-2025-8099-et, amely lehetővé tehette a támadók számára, hogy ismételt GraphQL-lekérdezésekkel összeomlasztják a szervereket, valamint a CVE-2026-0958-at, amely a JSON-érvényesítés middleware megkerülésével kimeríthette a rendszer erőforrásait.

A javítás kijavítja továbbá a cross-site scripting és az injekció alapú sebezhetőségeket, például a CVE-2025-14560 és a CVE-2026-0595 sérülékenységeket. Ezek a hibák lehetővé tehetik támadóknak a bizonyos feltételek mellett rosszindulatú szkriptek bejuttatását vagy a tartalom manipulálását. A Markdown-feldolgozást, a műszerfalakat és a kiszolgálóoldali kéréshamisítási (SSRF) kockázatokat érintő további közepes súlyosságú sebezhetőségek is megoldásra kerültek, több kisebb súlyosságú engedélyezési és érvényesítési hiba mellett.

A GitLab szerint az érintett verziók a most kiadott javításokat megelőzően több kiadási ágból származó összes buildet tartalmazzák. A vállalat megjegyzi, hogy biztonsági a biztonsági rések részleteit általában 30 nappal a javítás kiadása után hozzák nyilvánosságra. A szervezet hangsúlyozza, hogy a biztonságos telepítések fenntartásához elengedhetetlenül fontosnak tartják a frissítést a legújabb támogatott verzióra.

A javításkiadás adatbázis-migrációt is tartalmaz, amely átmenetileg befolyásolhatja a rendelkezésre állást. Egyetlen csomópontot tartalmazó telepítések a frissítések során várhatóan leállások lesznek, míg a több csomópontos telepítések az ajánlott frissítési eljárásokat követve leállás nélkül elvégezhetik a frissítést.

A GitLab a rendszeres, havonta kétszer megjelenő javítási ütemtervet követi, de kritikus sebezhetőségek felfedezésekor további frissítéseket adhat ki. A vállalat azt tanácsolja a rendszergazdáknak, hogy olvassák el a kiadási jegyzeteket, teszteljék a frissítéseket staging környezetben, és a lehető leghamarabb telepítsék a legújabb javításokat, hogy csökkentsék a potenciális kihasználási kockázatokat.