Een onlangs ontdekte kwetsbaarheid in GitLab EE, CVE-2025-6168, kan ervoor zorgen dat geauthenticeerde maintainers groepsniveau gebruikersuitnodigingsbeperkingen omzeilen via aangepaste API-verzoeken. Dit probleem heeft invloed op alle versies van 18.0 tot 18.0.4 en 18.1 tot 18.1.2.
Hoewel de impact beperkt is met een lage vertrouwelijkheidsimpact en geen integriteits- of beschikbaarheidseffect, is het cruciaal dat gebruikers hun systemen zo snel mogelijk bijwerken om schade te voorkomen.
Overzicht
Het beveiligingslek in GitLab werd geclassificeerd onder CWE-863: Onjuiste Autorisatie, met een CVSS score van 2.7, wat de kwetsbaarheid als laag inschaalt. De kwetsbaarheid kon worden misbruikt via een netwerk, zonder dat er gebruikersinteractie nodig is, wat het belangrijk maakt om direct te handelen.
Aanbevelingen
- Update uw GitLab installatie naar versie 18.0.4, 18.1.2 of hoger.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6168?
CVE-2025-6168 is een beveiligingslek in GitLab dat ongeoorloofde toegang tot gebruikersinvitaties mogelijk maakt, ondanks bestaande beperkingen.
Welke systemen zijn kwetsbaar voor CVE-2025-6168?
Alle GitLab EE versies vanaf 18.0 tot 18.0.4 en 18.1 tot 18.1.2 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, de kwetsbaarheid is verholpen in versies 18.0.4 en 18.1.2. Het wordt sterk aanbevolen om uw systemen bij te werken naar deze of nieuwere versies.
Wat kan een aanvaller met deze kwetsbaarheid?
Een geauthenticeerde aanvaller kan groepsniveau gebruikersuitnodigingen manipuleren ondanks bestaande regels die dit zouden moeten voorkomen.
