GitLab heeft patches uitgebracht voor versies 18.0.2, 17.11.4 en 17.10.8 van zowel de Community als Enterprise Edition. Een kritieke beveiligingsfix pakt een HTML-injectie bug aan die misbruikt kan worden voor account takeover.
De meest serieuze kwetsbaarheid betreft CVE-2025-4278, een HTML-injectie bug die alle GitLab CE/EE-versies vanaf 18.0 tot 18.0.2 raakt. De bug stelt aanvallers in staat om onder bepaalde omstandigheden code te injecteren in de zoekpagina, waardoor zij accounts kunnen overnemen. GitLab waardeert dit risico op CVSS 8.7.
GitLab hanteert een duidelijke aanpak bij security patches. Er bestaan twee types patch releases: geplande releases en ad-hoc critical patches voor ernstige kwetsbaarheden. De geplande releases verschijnen twee keer per maand op de tweede en vierde woensdag. Voor security fixes geldt dat details over kwetsbaarheden pas 30 dagen na de patch publiek worden gemaakt via hun issue tracker.
Urgente upgrade aanbeveling
De patches pakken belangrijke kwetsbaarheden aan. GitLab raadt alle gebruikers van selfmanaged installaties dringend aan om zo snel mogelijk naar een van deze versies te upgraden.
GitLab.com draait inmiddels al op de gepatchte versie. Klanten van GitLab Dedicated hoeven geen actie te ondernemen. Voor selfmanaged installaties geldt echter de dringende aanbeveling om direct te upgraden naar de nieuwste versie voor hun ondersteunde branch.