SicherheitslĂĽcken Gitlab: Heruntergestufte Admins behalten weitreichende Rechte
Mehrere Schwachstellen bedrohen die Softwareentwicklungsplattform Gitlab. Gegen mögliche Attacken gerüstete Versionen stehen zum Download.
(Bild: Alfa Photo/Shutterstock.com)
Angreifer können an sieben Sicherheitslücken in Gitlab Community Edition und Enterprise Edition ansetzen. Auf Gitlab.com laufen dem Anbieter zufolge bereits abgesicherte Ausgaben. Bislang gibt es keine Berichte zu laufenden Attacken. Admins sollten aber nicht zu lange mit der Installation der Sicherheitspatches zögern.
Standardnutzer mit Admin-Rechten
In einer Warnmeldung schreiben die Entwickler, dass drei Lücken (CVE-2025-2255, CVE-2025-0811, CVE-2025-2242) mit dem Bedrohungsgrad "hoch" eingestuft sind. In den beiden ersten Fällen sind XSS-Attacken möglich und Angreifer können eigenen Code ausführen. Ob es sich dabei um persistente XSS-Lücken handelt, geht aus der Beschreibung nicht hervor.
Die dritte dieser Schwachstellen ist ein Sicherheitsproblem bei der Rechtevergabe. Wird ein Admin zu einem normalen Nutzer heruntergestuft, bleiben seine Admin-Rechte erhalten. Durch das erfolgreiche Ausnutzen der verbleibenden Lücken können Angreifer etwa unbefugt Daten einsehen.
Die Entwickler versichern, die LĂĽcken in den Ausgaben 17.8.6, 17.9.3 und 17.10.1 geschlossen zu haben.
(des)
