Sicherheitslücken in GitLab: Angreifer können Accounts übernehmen

Die Softwareentwicklungsplattform GitLab ist verwundbar. Mehrere Sicherheitslücken gefährden Systeme. Nach erfolgreichen Attacken können Angeifer unter anderem die Kontrolle über Accounts erlangen und unbefugt auf Daten zugreifen.

Verschiedene Attacken möglich

Wie aus einer Warnmeldung hervorgeht, haben die Entwickler in GitLab Community Edition und Enterprise Edition insgesamt zehn Lücken geschlossen. Auch wenn es derzeit noch keine Berichte über laufende Attacken gibt, empfehlen die Entwickler Admins, die abgesicherten Versionen auf ihren selbstverwalteten Installationen umgehend zu installieren. Sie geben an, dass auf GitLab.com bereits die reparierten Ausgaben laufen.

Geschieht das nicht, können Angreifer unter anderem Accounts kapern (CVE-2025-4278 „hoch„), eigenen Code ausführen (CVE-2025-2254 „hoch„) und Systeme über DoS-Attacken (etwa CVE-2025-0673 „hoch„) aus dem Verkehr ziehen. Außerdem können Angreifer noch auf eigentlich abgeriegelte Informationen zugreifen (CVE-2025-5195 „mittel„). Wie solche Attacken ablaufen könnten, ist bislang unklar. Unbekannt ist derzeit auch, an welchen Parametern Admins bereits attackierte Systeme erkennen können.

Sicherheitsupdates verfügbar

Die Entwickler versichern, die Schwachstellen in den Ausgaben 17.10.8, 17.11.4 und 18.0.2 bereinigt zu haben. Zusätzlich haben sie in den aktuellen Versionen noch mehrere Bugs gefixt, die in der Warnmeldung aufgelistet sind. Die Sicherheitslücken seien intern entdeckt worden.

In den vergangenen Monaten haben die Entwickler GitLab unter anderem gegen Admin-Attacken abgesichert, bei denen heruntergestufte Admins weitreichende Rechte behalten haben.

(des)