Sicherheitslücken in GitLab: Angreifer können Zugangsdaten abgreifen
Die Softwareentwicklungsplattform GitLab ist verwundbar. Sicherheitsupdates schließen mehrere Schwachstellen.
(Bild: AFANASEV IVAN/Shutterstock.com)
GitLab Community Edition und Enterprise Edition sind über mehrere Sicherheitslücken angreifbar. Stimmen die Voraussetzungen, können sich Angreifer höhere Nutzerrechte verschaffen. Die Entwickler versichern, dass auf GitLab.com bereits dagegen geschützte Versionen laufen. Bei On-Premises-Installationen sollten Admins zeitnah handeln und die verfügbaren Patches installieren.
Verschiedene Gefahren
Geschieht das nicht, können Angreifer einer Warnmeldung der GitLab-Entwickler zufolge an sechs Sicherheitslücken ansetzen. Davon sind zwei (CVE-2024-9183, CVE-2025-12571) mit dem Bedrohungsgrad „hoch“ eingestuft. Im ersten Fall müssen Angreifer bereits authentifiziert sein. Ist das gegeben, können sie auf einem nicht näher ausgeführten Weg auf Zugangsdaten von Nutzern mit höheren Rechten zugreifen und Aktionen in deren Namen ausführen. Die zweite Schwachstelle ist ohne Authentifizierung ausnutzbar und führt zu einem DoS-Zustand.
Videos by heise
Durch das erfolgreiche Ausnutzen der verbleibenden Lücken können unter anderem Informationen leaken. Die Entwickler versichern, die Schwachstellen in den Ausgaben 18.4.5, 18.5.3 und 18.6.1 geschlossen zu haben. Bislang gibt es keine Berichte, dass Angreifer bereits Instanzen attackieren.
Zuletzt haben die Entwickler vor rund einem Monat Lücken in der DevSecOps-Plattform geschlossen.
(des)
