Datenschutz & Sicherheit
Sicherheitspatches: Angreifer können Schadcode auf GitLab-Servern verankern
Angreifer können an mehreren Schwachstellen in der Softwareentwicklungsplattform GitLab ansetzen. Davon sind die Community- und Enterprise-Editionen betroffen. Sicherheitsupdates sind verfügbar.
Instanzen absichern
In einer Warnmeldung versichern die Verantwortlichen, dass GitLab.com bereits abgesichert sei. Sie empfehlen, dass Admins von On-premise-Instanzen die reparierten Ausgaben 18.0.6, 18.1.4 oder 18.2.2 zeitnah installieren sollten. Noch gibt es keine Informationen, ob bereits Attacken laufen.
Vier Sicherheitslücken (CVE-2025-7734, CVE-2025-7739, CVE-2025-6186, CVE-2025-8094) sind mit dem Bedrohungsgrad „hoch“ eingestuft. An diesen Stellen können Angreifer in erster Linie für XSS-Attacken ansetzen. In einem Fall können sie Schadcode sogar dauerhaft auf verwundbaren Servern ablegen (stored XSS).
In den anderen Fällen ist unter anderem die Authentifizierung umgehbar (CVE-2024-10219 „mittel„). Neben dem Schließen von Sicherheitslücken haben die Entwickler in den aktuellen Ausgaben noch einige Bugs beseitigt.
Zuletzt haben Sicherheitsupdates GitLab vor möglichen Accountübernahmen geschützt.
(des)