Die DevSecOps-Plattform GitLab ist verwundbar. In aktuellen Versionen haben die Entwickler mehrere Sicherheitslücken geschlossen. Im schlimmsten Fall können Angreifer Systeme kompromittieren.
Die Entwickler versichern in einer Warnmeldung, dass sie in den Ausgaben 18.4.6, 18.5.4 und 18.6.2 insgesamt zehn Sicherheitslücken geschlossen haben. Davon sind vier mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2025-12716, CVE-2025-8405, CVE-2025-12029, CVE-2025-12562). Auf GitLab.com sollen bereits die abgesicherten Versionen laufen.
Verschiedene Gefahren
Setzen Angreifer erfolgreich an diesen Lücken an, können sie unter anderem Wiki-Seiten mit Schadcode erstellen oder Malware in Code Flow Displays verankern. In beiden Fällen müssen Angreifer aber bereits authentifiziert sein. Außerdem kann es nach DoS-Attacken zu Abstürzen kommen. Bislang gibt es keine Hinweise auf bereits laufende Attacken.
Durch die verbleibenden Schwachstellen können unter anderem Informationen leaken.
Zuletzt haben die GitLab-Entwickler Ende November mehrere Sicherheitslücken geschlossen.
(des)
English (US) ·