Kwetsbaarheden aangepakt in GitLab

GitLab heeft meerdere beveiligingsproblemen opgelost in zowel de Community- als Enterprise-edities. Deze kwetsbaarheden betroffen onder andere het ongewenst zichtbaar maken van volledige e-mailadressen aan niet-geautoriseerde gebruikers, gebrekkige invoervalidatie die een Denial-of-Service (DoS) aanval mogelijk maakt, en de blootstelling van gemaskeerde CI-variabelen. Bovendien konden sommige gebruikers tweefactorauthenticatie omzeilen en was het voor geauthenticeerde gebruikers mogelijk om door middel van het uitputten van serverresources een DoS-aanval uit te voeren. Deze kwetsbaarheden hadden aanzienlijke gevolgen voor de privacy en beveiliging van gebruikersinformatie.

De ontdekkingen brengen ook problemen aan het licht zoals het blootleggen van persoonlijke informatie aan onbevoegden, gebrek aan voldoende validering binnen invoer, onvoldoende toegangscontrole, onbeperkt gebruik van bronnen zonder throttling, en zwakke authenticatie.

Betrokken versies en oplossingen

De kwetsbaarheden troffen verschillende versies van GitLab, namelijk versies 18.0 tot 17.10.0 van zowel de Community als Enterprise Edition. GitLab heeft inmiddels updates uitgebracht om deze veiligheidsproblemen te verhelpen. Voor gedetailleerde informatie en het doorvoeren van de updates, verwijzen we naar de GitLab release pagina.

CVE-Referenties

De volgende CVE-identificaties zijn toegewezen aan de gerapporteerde kwetsbaarheden: CVE-2024-7803, CVE-2024-9163, CVE-2024-12093, CVE-2025-0605, CVE-2025-0679, CVE-2025-0993, CVE-2025-1110, CVE-2025-2853, CVE-2025-3111, CVE-2025-4979.

Vrijwaringsbepaling

Bij gebruik van deze informatie accepteert u de volgende voorwaarden: het Nationaal Cyber Security Centrum (NCSC) heeft bij het opstellen van dit advies uiterste zorg betracht, maar kan niet instaan voor de volledigheid of juistheid van de beschikbare informatie. De informatie is puur bedoeld als algemene leidraad voor professionele gebruikers. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade voortkomend uit het gebruik van deze informatie.

Op dit advies is Nederlands recht van toepassing. Geschillen voortvloeiend uit of in verband met dit advies worden voorgelegd aan de bevoegde rechter te Den Haag, inclusief voor spoedzaken.

Blijf op de hoogte en zorg dat je systemen up-to-date zijn om beveiligingsrisico’s te minimaliseren.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.