GitLab Beveiligingsupdate: Cruciale Kwetsbaarheden Verholpen

GitLab heeft recentelijk enkele belangrijke beveiligingslekken in zijn Community Edition (CE) en Enterprise Edition (EE) aangepakt. Deze kwetsbaarheden, die in versies voor 17.7.6, 17.8.4 en 17.9.1 aanwezig waren, zijn door de patches van GitLab verholpen. In deze adviesbrief geven we een overzicht van de kwetsbaarheden en hoe ze aangepakt kunnen worden om uw systemen veilig te houden.

Kwetsbaarheden In Detail

• Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)
  Deze kwetsbaarheid staat bekend als een cross-site scripting (XSS) probleem. Het stelt aanvallers in staat schadelijke scripts in te voegen via zoekopdrachten in child-items. Dit kan leiden tot ongeautoriseerde scriptuitvoering, waardoor gegevens kunnen worden blootgesteld of gemanipuleerd. De ernst van deze kwetsbaarheid is als ‘hoog’ aangemerkt, wat betekent dat er aanzienlijke schade kan ontstaan als deze niet wordt aangepakt.

• Authorization Bypass Through User-Controlled Key
  Een andere ernstige kwetsbaarheid die is aangepakt, betreft de mogelijkheid voor een ongeautoriseerd persoon om toegang te krijgen tot beperkte delen van de GitLab-functionaliteit. Dit gebeurt door het gebruik maken van een gebruikersbeheerde sleutel, waardoor beveiligingsmechanismen kunnen worden omzeild.

Patch Details

GitLab heeft updates uitgebracht om deze kwetsbaarheden te verhelpen. Gebruikers van GitLab CE en EE worden sterk aangeraden om hun systemen bij te werken naar de nieuwste gepatchte versies. Specifieke informatie over de updates en hoe deze te implementeren zijn, kan worden gevonden via de volgende link naar GitLab’s release announcements.

Bereik en Betrokken Versies

Het beveiligingsprobleem heeft betrekking op meerdere edities van GitLab, waaronder:

• GitLab Community Edition
• GitLab Enterprise Edition

Deze kwesties betreffen voornamelijk de versies voor 17.7.6, 17.8.4, en 17.9.1.

Security Advies en Documentatie

Het National Cyber Security Centre (NCSC) in Nederland heeft specifiek advies uitgebracht over deze kwetsbaarheden onder referentienummer NCSC-2025-0070. De evaluatie van de kans op exploits en de potentiële impact is als ‘medium’ respectievelijk ‘hoog’ beoordeeld.

U kunt de volledige veiligheidsaanbeveling bekijken en downloaden in verschillende formaten, waaronder als Signed PGP en PDF.

Relevante CVE’s

Hier volgt een lijst van de kwetsbaarheden die in het advies worden genoemd, met hun specifieke CVE-referentienummers voor meer gedetailleerde technische informatie:

• CVE-2024-8186
• CVE-2024-10925
• CVE-2025-0307
• CVE-2025-0475
• CVE-2025-0555

Vrijwaring

Het NCSC heeft zich ingespannen om accuraat en volledig advies te bieden in dit document. Echter, kan er geen garantie gegeven worden over de volledigheid en tijdige actualiteit van de informatie. Deze adviezen zijn bedoeld voor professionele doeleinden en het gebruik van deze informatie geschiedt op eigen risico. Het NCSC en de Staat aanvaarden geen aansprakelijkheid voor eventuele schade door gebruik van deze informatie.

Voor juridische geschillen in verband met dit advies is uitsluitend de rechter in Den Haag bevoegd, onder toepasselijkheid van het Nederlands recht.

Door uw systemen te updaten met de laatst beschikbare beveiligingspatches, beperkt u de kans op aanvallen en verhoogt u de veiligheid van uw GitLab-infrastructuur.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----