Um GitLab-Instanzen gegen m\u00f6gliche Angriffe zu sch\u00fctzen, sollten Admins die verf\u00fcgbaren Sicherheitspatches zeitnah installieren. Geschieht das nicht, k\u00f6nnen Angreifer an sieben Sicherheitsl\u00fccken ansetzen.<\/p>\n
Weiterlesen nach der Anzeige<\/p>\n
In einer Warnmeldung versichern die Entwickler<\/a>, dass sie die Schwachstellen in den Versionen 18.3.5, 18.4.3 und 18.5.1<\/strong> von GitLab Community Edition (CE) und Enterprise Edition (EE) geschlossen haben. Auf GitLab.com sollen bereits die abgesicherten Ausgaben laufen. Auch wenn es bislang keine Berichte zu Attacken gibt, raten die Entwickler dringend, die Patches so schnell wie m\u00f6glich zu installieren.<\/p>\n Verschiedene Gefahren<\/p>\n Drei L\u00fccken (CVE-2025-11702, CVE-2025-10497, CVE-2025-11447) sind mit dem Bedrohungsgrad „hoch<\/strong>“ eingestuft. Setzen authentifizierte Angreifer mit bestimmten Rechten an der ersten Schwachstelle erfolgreich an, k\u00f6nnen sie die Kontrolle \u00fcber Project Runner erhalten. Dabei handelt es sich um ein Helferlein, das im Kontext von Softwareprojekten CI-Jobs ausf\u00fchrt. In den beiden anderen F\u00e4llen sind ohne Authentifizierung DoS-Attacken m\u00f6glich, was in der Regel zu Abst\u00fcrzen f\u00fchrt. Diese drei L\u00fccken wurden \u00fcber das Bug-Bounty-Programm HackerOne gemeldet.<\/p>\n In den verbleibenden F\u00e4llen k\u00f6nnen Angreifer unter anderem unrechtm\u00e4\u00dfig auf bestimmte Bereiche zugreifen und so etwa Softwareprojekte einsehen. Diese L\u00fccken sind mit dem Bedrohungsgrad „mittel<\/strong>“ und „niedrig<\/strong>“ versehen.<\/p>\n Neben dem L\u00f6sen von Sicherheitsproblemen haben die Entwickler in den aktuellen Ausgaben eigenen Angaben zufolge noch verschiedene Bugs aus der Welt geschafft.<\/p>\n