A GitLab lançou atualizações de segurança para corrigir múltiplas vulnerabilidades presentes na sua plataforma DevSecOps, incluindo algumas que permitiam a atacantes assumir o controle de contas e injetar jobs maliciosos em pipelines futuros.
A empresa disponibilizou as versões GitLab Community e Enterprise 18.0.2, 17.11.4 e 17.10.8 para corrigir essas falhas de segurança, e instou todos os administradores a atualizarem seus sistemas imediatamente.
"Essas versões contêm correções importantes de bugs e de segurança, e recomendamos fortemente que todas as instalações do GitLab auto-gerenciadas sejam atualizadas para uma dessas versões imediatamente," alertou a empresa.
"O GitLab.com já está executando a versão corrigida. Os clientes do GitLab Dedicated não precisam tomar nenhuma ação."
Na quarta-feira(11), a GitLab corrigiu um problema de injeção de HTML rastreado como
CVE-2025-4278
, que poderia permitir a atacantes remotos assumirem contas por meio da injeção de código malicioso na página de busca.
Também foram liberados patches para uma questão de autorização ausente (CVE-2025-5121) que afeta o GitLab Ultimate EE e permite que atores de ameaças remotas injetem jobs maliciosos de CI/CD nos pipelines de CI/CD futuros de qualquer projeto.
Os pipelines do GitLab são uma característica do sistema de Continuous Integration/Continuous Deployment (CI/CD) que permite aos usuários construir, testar ou implantar mudanças de código sequencialmente ou executar processos e tarefas automaticamente em paralelo.
Entretanto, para uma exploração bem-sucedida, os atacantes precisam ter acesso autenticado a instâncias do GitLab com uma licença GitLab Ultimate.
A empresa também corrigiu uma vulnerabilidade de cross-site scripting (
CVE-2025-2254
) que poderia permitir a atacantes bem-sucedidos agir no contexto de um usuário legítimo e uma falha de negação de serviço (DoS) (
CVE-2025-0673
) que pode permitir a atores maliciosos desencadear loops de redirecionamento infinitos, causando exaustão de memória e negando acesso a usuários legítimos.
Repositórios GitLab são frequentemente alvos de ataques devido às informações sensíveis e dados que contêm, como provado por recentes violações de dados reportadas pela multinacional de aluguel de carros Europcar Mobility Group e pela gigante da educação Pearson, que tiveram seus repositórios GitLab comprometidos desde o início do ano.
A plataforma DevSecOps da GitLab possui mais de 30 milhões de usuários registrados e é utilizada por mais de 50% das empresas listadas na Fortune 100, incluindo Goldman Sachs, Airbus, T-Mobile, Lockheed Martin, Nvidia e UBS.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...