GitLab hat neue Patch-Releases für seine Plattform bereitgestellt, die Sicherheitslücken in den Versionen 17.8.1, 17.7.3 und 17.6.4 schließen. Sowohl die Community Edition (CE) als auch die Enterprise Edition (EE) profitieren von den Updates, die eine als „hoch“ und zwei als „mittel“ eingestufte Schwachstellen adressieren. Der Anbieter empfiehlt dringend, die Aktualisierungen schnellstmöglich zu installieren. Für Nutzer von GitLab.com wurden die Cloud-Server bereits automatisch auf die neuen Versionen aktualisiert. Die kritischste Schwachstelle (CVE-2025-0314) weist einen CVSS-Score von 8.7 auf und ermöglicht Stored Cross-Site-Scripting (XSS) über Asciidoctor-Inhalte. Dabei wird Schadcode direkt auf dem Server gespeichert, wodurch er nicht nur durch direkte Eingaben, sondern auch bei späteren Anfragen aktiviert werden kann. Eine ähnliche Lücke wurde bereits im Juni 2024 bekannt.
Eine weitere Sicherheitslücke (CVE-2024-11931) mit einem CVSS-Wert von 6.4 erlaubt es, über CI Lint geschützte Variablen aus CI/CD-Prozessen auszulesen. CI Lint wird genutzt, um Yaml-Dateien der CI/CD-Konfiguration auf Fehler zu prüfen. Die dritte Schwachstelle (CVE-2024-6324) mit einem CVSS-Score von 4.3 ermöglicht Angreifern, durch zyklische Referenzen zwischen Epics eine Denial-of-Service-Attacke auszulösen.
