Es sind wichtige Sicherheitspatches für die Softwareentwicklungsplattform Gitlab erschienen. Insgesamt haben die Entwickler fünf Lücken geschlossen.

In einem Beitrag geben die Gitlab-Entwickler an, die Sicherheitsprobleme in Gitlab Community Edition und Enterprise Edition 17.7.6, 17.8.4 und 17.9.1 gelöst zu haben. Die Entwickler raten Admins, ihre Gitlabinstanzen zügig auf den aktuellen Stand zu bringen. Bislang gibt es noch keine Hinweise auf bereits laufende Attacken. Weil Gitlab.com bereits gepatcht ist, müssen Gitlab-Dedicated-Kunden nichts unternehmen.

Schadcode-Attacken

Zwei Schwachstellen (CVE-2025-0475, CVE-2025-0555) sind mit dem Bedrohungsgrad "hoch" eingestuft. In beiden Fällen können Angreifer im Zuge von XSS-Attacken unter bestimmten, nicht näher ausgeführten Umständen, Schadcode ausführen. Ob es sich um persistente XSS-Lücken handelt, geht aus der Beschreibung nicht hervor.

In den weiteren Fällen können Angreifer unter anderem unbefugt Daten einsehen (CVE-2025-10925 "mittel"). Alle Schwachstellen wurden den Entwicklern zufolge über die Bug-Bounty-Plattform HackerOne gemeldet.

Zuletzt rieten die Gitlab-Entwickler Mitte Februar zu zügigen Updates.