Mit dem Release der Versionen 18.6.2, 18.5.4, 18.4.6 für GitLab Community Edition (CE) und Enterprise Edition (EE) werden bei der DevSecOps-Plattform Sicherheitslücken geschlossen.
Die Versionen brächten Fehlerbehebungen und Sicherheitskorrekturen berichtet GitLab in der Ankündigung. Es sei dringend empfohlen, alle selbstverwalteten GitLab-Installationen umgehend auf eine dieser Versionen zu aktualisieren. GitLab.com laufe bereits mit der gepatchten Version. Kunden von GitLab Dedicated müssten keine Maßnahmen ergreifen.
Insgesamt hat GitLab mit dem Security-Release zehn Sicherheitslücken geschlossen. Vier davon sind mit hohem Sicherheitsrisiko gekennzeichnet. Darüber sind wahlweise Cross-Site-Scripting oder DoS-Attacken möglich. Fünf weitere Lücken bergen ein mittleres Risiko, eine gilt als wenig gefährlich.
Bei der Sicherheitslücke, die ein Cross-Site-Scripting-Problem (CVE-2025-12716) im Wiki betrifft und bei GitLab CE/EEGitLab auftritt, konnte unter bestimmten Umständen ein authentifizierter Benutzer unbefugte Aktionen im Namen eines anderen Benutzers ausführen, indem er Wiki-Seiten mit bösartigen Inhalten erstellte.
Die Ankündigung verlinkt auch die Sicherheitslücken im Einzelnen.
