Kritische Sicherheitslücken in GitLab: XSS, CI/CD-Exploits und DoS-Risiken entdecken!

Die kritischste Schwachstelle (CVE-2025-0314) mit einem CVSS-Score von 8.7 ermöglicht Stored Cross-Site-Scripting (XSS)* über Asciidoctor-Inhalte. Bei dieser Schwachstelle wird Schadcode direkt auf dem Server gespeichert und nicht nur durch direkte Eingaben, sondern auch bei späteren Anfragen aktiviert. Ähnlich wie bei einer zuvor im Juni 2024 entdeckten Lücke ermöglicht dies Angreifern, schädlichen Code in Webseiten einzufügen und damit Benutzer zu manipulieren oder Daten zu stehlen.

Eine weitere Sicherheitslücke (CVE-2024-11931) mit einem CVSS-Wert von 6.4 erlaubt es, über CI Lint geschützte Variablen aus CI/CD-Prozessen auszulesen.* CI Lint dient dazu, YAML-Dateien der CI/CD-Konfiguration auf Fehler zu prüfen. Durch die Ausnutzung dieser Schwachstelle könnten Angreifer sensible Informationen aus dem Build- und Deployment-Prozess entwenden.

Die dritte Schwachstelle (CVE-2024-6324) mit einem CVSS-Score von 4.3 ermöglicht Denial-of-Service-Attacken durch zyklische Referenzen zwischen Epics.* Ein Angreifer könnte durch gezielte Verknüpfungen von Aufgaben (Epics) einen Überlastung des Systems verursachen, was zu Ausfallzeiten und beeinträchtigter Funktionalität führt.

Diese Patch-Releases unterstreichen GitLabs Engagement für die kontinuierliche Verbesserung der Plattform-Sicherheit. Nutzer sollten diese Updates umgehend installieren, um ihre Systeme vor diesen potenziellen Bedrohungen zu schützen.

Schlagwörter: CI Lint + Epics + XSS

Wie bewerten Sie den Schreibstil des Artikels?