Vulnerabilidades do GitLab expõem os usuários a ataques de injeção imediata e roubo de dados

Vulnerabilidades do GitLab expõem os usuários a ataques de injeção imediata e roubo de dados

O GitLab lançou patches de segurança críticos que abordam nove vulnerabilidades no Community Edition (CE) e Enterprise Edition (EE), incluindo uma falha preocupante de injeção imediata no GitLab Duo que pode expor informações confidenciais de questões confidenciais.

A empresa está incentivando todas as instalações autogerenciadas a atualizarem imediatamente para as versões 18.5.2, 18.4.4 ou 18.3.6.

A vulnerabilidade mais alarmante é a CVE-2025-6945, uma injeção imediata falha no recurso de revisão do GitLab Duo que permite que usuários autenticados vazem informações confidenciais de questões confidenciais, injetando prompts ocultos em comentários de solicitação de mesclagem.

ID do CVE Título de vulnerabilidade Gravidade Pontuação CVSS
CVE-2025-11224 Scripting entre sites no proxy k8s Alto 7.7
CVE-2025-11865 Autorização incorreta em fluxos de trabalho Médio 6,5
CVE-2025-2615 Divulgação de informações em assinaturas GraphQL Médio 4.3
CVE-2025-7000 Divulgação de informações no controle de acesso Médio 4.3
CVE-2025-6945 Injeção imediata na revisão do GitLab Duo Baixo 3.5
CVE-2025-6171 Divulgação de informações em pacotes API Baixo 3.1
CVE-2025-11990 Travessia de caminho do lado do cliente em nomes de filiais Baixo 3.1
CVE-2025-7736 Controle de acesso inadequado nas páginas do GitLab Baixo 3.1
CVE-2025-12983 Negação de serviço na redução Baixo 3.1

Este ataque demonstra como os recursos alimentados por IA podem se tornar riscos de segurança quando a validação de entrada falha.

O lote de patches também inclui uma vulnerabilidade de script entre sites de alta gravidade (CVE-2025-11224) na funcionalidade de proxy do Kubernetes, que pode permitir que usuários autenticados executem ataques XSS armazenados devido à validação de entrada inadequada.

Isso afeta as versões do GitLab até 15.10, criando uma janela de exposição significativa para organizações que executam instâncias mais antigas.

Além disso, o GitLab abordou dois problemas de divulgação de informações de gravidade média que poderiam conceder acesso não autorizado a dados confidenciais.

CVE-2025-2615 permite que usuários bloqueados acessem informações confidenciais por meio de GráficoQL Assinaturas WebSocket.

Ao mesmo tempo, o CVE-2025-7000 permite que usuários não autorizados visualizem nomes confidenciais de filiais acessando problemas do projeto com solicitações de mesclagem relacionadas. Essas falhas destacam lacunas nos mecanismos de controle de acesso do GitLab.

Os usuários da Enterprise Edition devem prestar atenção ao CVE-2025-11865. Esse desvio de autorização de gravidade média permite que os usuários removam os fluxos de trabalho do Duo de outro usuário.

Esta vulnerabilidade ressalta a necessidade de uma validação de permissão mais rigorosa em sistemas de gerenciamento de fluxo de trabalho.

As seis vulnerabilidades restantes apresentam classificações de gravidade mais baixas, mas ainda merecem atenção. CVE-2025-6171 permite que repórteres autenticados visualizem nomes de filiais restritas e detalhes de pipeline por meio do endpoint da API de pacotes.

CVE-2025-7736 permite que os usuários ignorem os controles de acesso e acessem o conteúdo das páginas do GitLab por meio da autenticação do provedor OAuth.

CVE-2025-11990 apresenta um risco de passagem de caminho do lado do cliente por meio de referências de repositório e fraquezas no tratamento de redirecionamento.

Ao mesmo tempo, CVE-2025-12983 pode acionar condições de negação de serviço por meio de Markdown especialmente criado com padrões de formatação aninhados.

GitLab recomenda ação imediata para todas as instalações afetadas. Os usuários do GitLab.com já estão executando versões corrigidas e os clientes dedicados não exigem nenhuma ação.

Pesquisadores de segurança que participaram do programa de recompensas por bugs da HackerOne relataram a maioria das vulnerabilidades, demonstrando o valor da divulgação coordenada.

A empresa também atualizou o libxslt para a versão 1.1.43, corrigindo problemas de segurança adicionais, incluindo CVE-2024-55549 e CVE-2025-24855.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial em Google.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.