-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in GitLab EE/CE
Advisory ID : NCSC-2025-0100
Versie : 1.00
Kans : medium
CVE ID : CVE-2024-9773, CVE-2024-10307, CVE-2024-12619,
CVE-2025-0811, CVE-2025-2242, CVE-2025-2255
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Incorrect Authorization
Improper Neutralization of Input During Web Page
Generation ('Cross-site Scripting')
Improper Neutralization of Special Elements used in a
Command ('Command Injection')
Uitgiftedatum : 20250327
Toepassing : GitLab GitLab
Open Source GitLab
Versie(s) :
Platform(s) :
Beschrijving
GitLab heeft kwetsbaarheden verholpen in GitLab EE/CE (Specifiek voor
versies van 13.5.0 tot 17.10.1).
De kwetsbaarheden omvatten een invoervalidatiefout die het mogelijk
maakt voor gebruikers om kwaadaardige code in CLI-opdrachten te
injecteren, een cross-site scripting kwetsbaarheid die het mogelijk
maakt voor kwaadwillenden om willekeurige scripts uit te voeren in de
context van een gebruikerssessie, en een onjuist
toegangscontroleprobleem dat downgraded instance beheerders in staat
stelt om verhoogde privileges te behouden. Deze kwetsbaarheden kunnen
leiden tot ongeautoriseerde toegang en de integriteit van systemen en
gebruikersrechten ondermijnen.
Mogelijke oplossingen
GitLab heeft updates uitgebracht om de kwetsbaarheden te verhelpen.
Zie bijgevoegde referenties voor meer informatie.
Referenties:
Reference - certbundde
https://about.gitlab.com/releases/2025/03/26/patch-release-
gitlab-17-10-1-released/
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=Wafg
-----END PGP SIGNATURE-----
