Sicherheitsupdates GitLab: Angreifer können E-Mail-Adressen hinterlegen
Die Entwicklungsumgebung GitLab ist über mehrere Sicherheitslücken angreifbar. Admins sollten ihre Installationen auf den aktuellen Stand bringen.
(Bild: VideoFlow/Shutterstock.com)
GitLab Community Edition (CE) und Enterprise Edition (EE) sind verwundbar. Wer GitLab-Instanzen selbst hostet, sollte zügig die verfügbaren Sicherheitspatches installieren. Auf Gitlab.com sollen bereits reparierte Ausgaben laufen.
Mehrere Ansatzpunkte
In einer Warnmeldung listen die Entwickler die abgesicherten Versionen 18.10.1, 18.9.3 und 18.8.7 auf. Jüngere Ausgaben sind für Attacken anfällig, und Angreifer können zwölf Schwachstellen ansetzen. Davon sind vier Stück mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2026-2370, CVE-2026-3857, CVE-2026-2995, CVE-2026-3988).
Nutzen Angreifer diese Schwachstellen erfolgreich aus, können sie unter anderem DoS-Zustände auslösen oder in bestehende Benutzerkonten E-Mail-Adressen hinzufügen. Die verbleibenden Lücken schwächen unter anderem die Authentifizierung (zum Beispiel CVE-2026-2726 „mittel“).
Videos by heise
Der Softwarehersteller rät zu einem zügigen Update. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.
(des)
