Een beveiligingsprobleem is ontdekt in GitLab EE. Alle versies vanaf 13.3 tot 17.11.6, 18.0 tot 18.0.4, en 18.1 tot 18.1.2 zijn getroffen. Dit probleem kan project-eigenaren, na authenticatie, toestaan om de beperkingen op het forken op groepsniveau te omzeilen door API-verzoeken te manipuleren.
Overzicht
Het probleem heeft betrekking op een onjuiste autorisatie, aangeduid met CWE-863. Door de lage complexiteit en het ontbreken van gebruikersinteractie is deze kwetsbaarheid bijzonder zorgwekkend voor organisaties die werken met meerdere projecten binnen GitLab-omgevingen.
Aanbevelingen
- Upgrade naar GitLab versies 17.11.6, 18.0.4, 18.1.2 of hoger om het probleem te verhelpen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-3396?
Dit is een kwetsbaarheid in GitLab EE waardoor project-eigenaren mogelijk beperkingen kunnen omzeilen door API-verzoeken te manipuleren.
Welke systemen zijn kwetsbaar voor CVE-2025-3396?
GitLab versies van 13.3 tot 17.11.6, 18.0 tot 18.0.4, en 18.1 tot 18.1.2 zijn getroffen. Het is belangrijk dat beheerders deze versies onmiddellijk bijwerken.
Bestaat er al een patch of beveiligingsupdate?
Ja, hopelijk zijn updates beschikbaar naar de veilige versies: 17.11.6, 18.0.4, en 18.1.2 of hoger.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder veel moeite binnen de organisatorische GitLab-omgeving beperkingen omzeilen en mogelijk ongewenste toegang tot resources verkrijgen.
