Alvorlige sårbarheder i GitLab CE og EE

Der er blevet fundet flere kritiske sårbarheder i GitLab Community Edition (CE) & Enterprise Edition (EE).

De sårbare systemer er følgende:

• GitLab CE/EE - alle versioner fra 17.7 før 17.10.8
• GitLab CE/EE - 17.11 før 17.11.4
• GitLab CE/EE - 18.0 før 18.0.2
• GitLab Ultimate EE - alle versioner fra 17.11 før 17.11.4
• GitLab Ultimate EE - 18.0 før 18.0.2

Sårbarhederne er følgende:

EUVD-2025-18169 (CVE-2025-4278) – CVSS-score 8,7
Under visse betingelser, kan denne sårbarhed give en ondsindet aktør mulighed for at opnå kontoovertagelse ved at injicere kode på søgesiden.

EUVD-2025-18168 (CVE-2025-2254) - CVSS-score 8,7
Under visse betingelser, kan denne sårbarhed give en ondsindet aktør mulighed for at handle i konteksten af en legitim bruger ved at injicere et ondsindet script i snippet-seeren.

EUVD-2025-18171 (CVE-2025-0673) CVSS-score 7,5
Under visse betingelser, kan denne sårbarhed give en ondsindet aktør mulighed for at nægte adgang til legitime brugere af det målrettede system ved at udløse en uendelig omdirigeringskredsløb, der forårsager hukommelsesudmattelse på serveren.

Derudover har GitLab noteret CVE-2025-5121 (CVSS-score 8,5), men denne er ikke publiceret på CVE-programmet endnu, hvorfor den heller ikke findes i EU's sårbarhedsdatabase. Men den er alvorlig nok, fordi den under visse betingelser kan give en ondsindet aktør mulighed, med autentificeret adgang til en GitLab-instans med en anvendt GitLab Ultimate-licens (betalt kunde eller prøve), til at injicere en ondsindet CI/CD-job i alle fremtidige CI/CD-pipelines af ethvert projekt.

Det anbefales at opdatere de sårbare installationer med det samme. Producentens anvisninger findes i GitLabs release-dokument.

Bleeping Computer en omtale af disse og de øvrige mindre kritiske sårbarheder.