Alvorlige sårbarheder i GitLab CE og EE

Eskil Sørensen

10.27.2025 11:14

Risiko for projekt-overtagelse og DoS-angreb

Der er identificeret flere alvorlige sårbarheder i GitLab Community Edition (CE) og Enterprise Edition (EE), som potentielt kan udnyttes til at overtage projektløbere eller forårsage denial-of-service (DoS) angreb.

Sårbarhederne er registreret som CVE-2025-11702, EUVD-2025-35956 / CVE-2025-10497 og EUVD-2025-35955 / CVE-2025-11447.

Det bemærkes, at CVE-2025-11702 endnu ikke har fået tildelt et EUVD-nummer, da den stadig er ved at bliv undersøgt.

Alle versioner af GitLab CE og EE før 18.3.5, 18.4.3 og 18.5.1 er berørt. Det anbefales derfor, at brugere og administratorer hurtigst muligt opdaterer til de nyeste versioner.

CVE-2025-11702 beskrives som en sårbarhed, hvor en ondsindet aktør med specifikke tilladelser kan overtage projektløbere fra andre projekter. Denne sårbarhed har fået en CVSSv3-score på 8,5 .

EUVD-2025-35956 og EUVD-2025-35955 kan ved udnyttelse forårsage DoS-tilstande. Den ene ved at sende specialudformede payloads, og den anden via manipulerede JSON-payloads i GraphQL-forespørgsler. Begge sårbarheder har fået en CVSSv3-score på 7,5.

Der er på nuværende tidspunkt ikke rapporteret om aktiv udnyttelse af sårbarhederne, men det ændrer ikke ved, at de udgør en betydelig risiko – særligt i miljøer hvor GitLab anvendes til versionsstyring og CI/CD i forsknings- og udviklingsprojekter.

Læs mere

https://about.gitlab.com/releases/categories/releases/.

Sårbarhed