GitLab hat am 26.02.25 neue Patch-Releases für die Community Edition (CE) und Enterprise Edition (EE) veröffentlicht. Mit den Versionen 17.9.1, 17.8.4 und 17.7.6 behebt GitLab mehrere kritische Sicherheitslücken und diverse Bugs, die in zahlreichen Installationen entdeckt wurden.
Die aktuellen Patches adressieren unter anderem die folgenden Sicherheitsprobleme:
- XSS in k8s Proxy Endpoint (CVE-2025-0475)
Schweregrad: Hoch
Eine Schwachstelle in einem Kubernetes-Proxy-Feature ermöglichte es, unter bestimmten Umständen unerwünschte Inhalte darzustellen. Die Korrektur dieser Lücke ist essenziell, um Cross-Site Scripting (XSS) Angriffe zu verhindern. - XSS Maven Dependency Proxy (CVE-2025-0555)
Schweregrad: Hoch
Diese Lücke in der Maven Dependency Proxy-Funktion könnte es Angreifern ermöglichen, Sicherheitsmechanismen zu umgehen und schädliche Skripte im Browser eines Benutzers auszuführen. - HTML Injection führt zu XSS auf Self-Hosted-Instanzen (CVE-2024-8186)
Schweregrad: Mittel
Durch eine fehlerhafte Handhabung von HTML-Inhalten in der Kind-Itemsuche konnte unter bestimmten Umständen XSS ausgelöst werden. Die Korrektur stellt sicher, dass HTML korrekt gefiltert wird. - Unzureichende Autorisierungsprüfung: Gastbenutzer können Sicherheitsrichtlinien einsehen (CVE-2024-10925)
Schweregrad: Mittel
Ein Gastbenutzer konnte fälschlicherweise auf sensible Sicherheitskonfigurationen zugreifen. Dieser Fix schließt die Lücke und verbessert die Zugriffskontrolle. - Planner-Rolle kann Code Review Analytics in privaten Projekten einsehen (CVE-2025-0307)
Schweregrad: Mittel
Eine unzulässige Berechtigungsvergabe ermöglichte es Nutzern mit eingeschränkten Rechten, Zugriff auf vertrauliche Projektanalysen zu erhalten. Auch diese Schwachstelle wurde in den aktuellen Versionen behoben.
Alle Administratoren von selbstverwalteten GitLab-Instanzen sollten dringend auf die neueste Version aktualisieren, um die genannten Sicherheitslücken zu schließen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: