No dia 12 de junho de 2025, o GitLab lançou atualizações críticas para reparar vulnerabilidades sérias em sua plataforma DevSecOps. Esses erros poderiam permitir invasores controlarem contas e inserirem comandos maliciosos em pipelines CI/CD.
A versão corrigida—GitLab Community e Enterprise 18.0.2, 17.11.4 e 17.10.8—corrige vários problemas
-
CVE‑2025‑4278: uma falha de injeção HTML na página de busca, que permitia invasores remotos feita execução de código malicioso e tomada de conta de contas.
-
CVE‑2025‑5121: ausência de autorização no GitLab Ultimate EE, possibilitando a injeção de jobs CI/CD maliciosos em pipelines de projetos, desde que o invasor estivesse autenticado
-
CVE‑2025‑2254: vulnerabilidade XSS que permitia agir no contexto de usuários legítimos.
-
CVE‑2025‑0673: falha de negação de serviço (DoS) via loop de redirecionamento infinito que esgotava memória
Essas falhas eram especialmente perigosas em ambientes self-managed, enquanto o GitLab.com já opera com os patches aplicados, dispensando a atualização manual
Dica de prevenção aplicável
Se você usa GitLab self-hosted, atualize imediatamente para uma das versões mencionadas (18.0.2, 17.11.4 ou 17.10.8).
Além disso:
-
Restrinja acessos ao GitLab Ultimate, especialmente em pipelines.
-
Monitore logs por atividades estranhas em buscas (possível XSS) ou pipelines (injeções incomuns).
-
Aplique políticas de acesso restritivas para CI/CD e utilize autenticação multifator.
As falhas recentemente corrigidas no GitLab mostram como problemas de autorização e injeção HTML podem permitir elevação de privilégio e controle de contas críticas. Atualize sua instância imediatamente, revise permissões e monitore ações suspeitas.
Se deseja reforçar a segurança na sua empresa com especialistas, conheça os serviços da LC SEC. Proteja seu ambiente DevSecOps com quem entende. Visite: lcsec.io
Compartilhe nas redes sociais:
