Saldırganlar Gitlab sistemlerindeki farklı zayıflıklardan başlayabilir ve en kötü durumda uzlaşabilirler.
Akla gelebilecek yetkisiz erişim
Bir uyarı mesajından görülebileceği gibi, iki güvenlik boşluğu dikkate alınır (CVE-2025-25291, CVE-2025-25292) “eleştirmen“Bununla birlikte, sistemler ancak kimlik doğrulaması SAML SSO aracılığıyla etkinse ve saldırganlar zaten bir kullanıcı hesabına girmişse savunmasızdır.
Hatalar bulunabilir ruby-saml-Bibliothek Gitlab'ın bu kayıt biçimi için kullandığı. Gereksinimler karşılanırsa, saldırganlar sistemlerde başka bir kullanıcı olarak kaydolabilir.
Geliştiriciler, GitLab ve Enterprise Edition topluluğundaki zayıf noktaların 17.7.7, 17.8.5 VE 17.9.2 kapanış için. GitLab.com'da zaten güvenli masraflar devam ediyor. Şimdiye kadar saldırganların zaten boşluklardan yararlandığına dair hiçbir rapor yok. Ancak, GitLab geliştiricileri yamayı hızlı bir şekilde yüklemenizi tavsiye eder.
Yöneticiler şu anda güvenlik güncellemesini yükleyemiyorsa, bildirim mesajında listelenen çözümü gerçekleştirmek ve diğer şeylerin yanı sıra, tüm hesaplar için iki faktöre kimlik doğrulamasını etkinleştirmek gerekir.
Daha Fazla Tehlikeler
Buna ek olarak, saldırganlar hala yedi ek ve diğer şey güvenlik boşlukları ekleyebilir (CVE 2025-27407 “yüksek“) Ruby Kütüphanesi bağlamında graphql Zararlı bir kod gerçekleştirin. Bununla birlikte, bu saldırılar kolayca mümkün değildir ve varsayılan olarak aktif olmayan doğrudan beta-kaptuci transfer aktif olmalıdır.
Ayrıca, DOS saldırıları mümkündür ve hesap verileri sızdırılabilir. Ayrıca, geliştiriciler mevcut sürümlerde birkaç hatayı kaldırdı. Sonunda, Şubat ayının sonunda, Gitlab'daki bazı güvenlik boşlukları, saldırganların diğer şeylerin yanı sıra komutlarını gerçekleştirebildikleri haberler yaptı.
(DES)
Akla gelebilecek yetkisiz erişim
Bir uyarı mesajından görülebileceği gibi, iki güvenlik boşluğu dikkate alınır (CVE-2025-25291, CVE-2025-25292) “eleştirmen“Bununla birlikte, sistemler ancak kimlik doğrulaması SAML SSO aracılığıyla etkinse ve saldırganlar zaten bir kullanıcı hesabına girmişse savunmasızdır.
Hatalar bulunabilir ruby-saml-Bibliothek Gitlab'ın bu kayıt biçimi için kullandığı. Gereksinimler karşılanırsa, saldırganlar sistemlerde başka bir kullanıcı olarak kaydolabilir.
Geliştiriciler, GitLab ve Enterprise Edition topluluğundaki zayıf noktaların 17.7.7, 17.8.5 VE 17.9.2 kapanış için. GitLab.com'da zaten güvenli masraflar devam ediyor. Şimdiye kadar saldırganların zaten boşluklardan yararlandığına dair hiçbir rapor yok. Ancak, GitLab geliştiricileri yamayı hızlı bir şekilde yüklemenizi tavsiye eder.
Yöneticiler şu anda güvenlik güncellemesini yükleyemiyorsa, bildirim mesajında listelenen çözümü gerçekleştirmek ve diğer şeylerin yanı sıra, tüm hesaplar için iki faktöre kimlik doğrulamasını etkinleştirmek gerekir.
Daha Fazla Tehlikeler
Buna ek olarak, saldırganlar hala yedi ek ve diğer şey güvenlik boşlukları ekleyebilir (CVE 2025-27407 “yüksek“) Ruby Kütüphanesi bağlamında graphql Zararlı bir kod gerçekleştirin. Bununla birlikte, bu saldırılar kolayca mümkün değildir ve varsayılan olarak aktif olmayan doğrudan beta-kaptuci transfer aktif olmalıdır.
Ayrıca, DOS saldırıları mümkündür ve hesap verileri sızdırılabilir. Ayrıca, geliştiriciler mevcut sürümlerde birkaç hatayı kaldırdı. Sonunda, Şubat ayının sonunda, Gitlab'daki bazı güvenlik boşlukları, saldırganların diğer şeylerin yanı sıra komutlarını gerçekleştirebildikleri haberler yaptı.
(DES)