گیت‌لب به‌روزرسانی‌های امنیتی مهمی را برای رفع آسیب‌پذیری‌های متعدد در پلتفرم DevSecOps خود منتشر کرد که برخی از آنها به مهاجمان امکان تصاحب حساب‌های کاربری و تزریق کارهای مخرب در خطوط لوله آینده را می‌دهد.

این شرکت نسخه‌های 18.0.2، 17.11.4 و 17.10.8 گیت‌لب Community و Enterprise را برای رفع این نقص‌های امنیتی منتشر کرد و از تمام مدیران سیستم خواست فوراً به‌روزرسانی انجام دهند.

گیت‌لب اعلام کرد: “این نسخه‌ها حاوی رفع باگ‌ها و مشکلات امنیتی مهمی هستند و ما قویاً توصیه می‌کنیم که تمام نصب‌های گیت‌لب خودمدیریت شده فوراً به یکی از این نسخه‌ها به‌روزرسانی شوند. GitLab.com در حال حاضر نسخه وصله شده را اجرا می‌کند و مشتریان GitLab Dedicated نیازی به اقدام ندارند.”

در روز چهارشنبه، گیت‌لب یک مشکل تزریق HTML با شناسه CVE-2025-4278 را وصله کرد که به مهاجمان از راه دور اجازه می‌دهد با تزریق کد مخرب در صفحه جستجو، حساب‌های کاربری را تصاحب کنند.

همچنین وصله‌هایی برای مشکل عدم مجوز (CVE-2025-5121) منتشر شد که بر GitLab Ultimate EE تأثیر می‌گذارد و به مهاجمان از راه دور امکان تزریق کارهای CI/CD مخرب در خطوط لوله CI/CD آینده هر پروژه را می‌دهد.

خطوط لوله گیت‌لب یک ویژگی سیستم یکپارچه‌سازی مستمر/استقرار مستمر (CI/CD) است که به کاربران امکان می‌دهد تغییرات کد را به صورت متوالی بسازند، تست کنند یا مستقر نمایند یا فرآیندها و وظایف را به صورت موازی و خودکار اجرا کنند.

با این حال، بهره‌برداری موفق نیازمند این است که مهاجمان دسترسی احراز هویت شده به نمونه‌های گیت‌لب با مجوز GitLab Ultimate داشته باشند.

این شرکت همچنین یک آسیب‌پذیری Cross-Site Scripting (CVE-2025-2254) را وصله کرد که می‌تواند به مهاجمان موفق اجازه دهد در زمینه یک کاربر مشروع عمل کنند و یک نقص حمله منع سرویس (DoS) با شناسه CVE-2025-0673 که به بازیگران مخرب امکان ایجاد حلقه‌های تغییر مسیر بی‌نهایت را می‌دهد و باعث اتمام حافظه و منع دسترسی کاربران مشروع می‌شود.

مخازن گیت‌لب اغلب به دلیل اطلاعات و داده‌های حساسی که در خود دارند هدف حملات قرار می‌گیرند. نقض‌های اخیر گزارش شده توسط شرکت چندملیتی اجاره خودرو Europcar Mobility Group و غول آموزشی Pearson که مخازن گیت‌لب آنها از ابتدای سال به خطر افتاده بود، این موضوع را اثبات می‌کند.

پلتفرم DevSecOps گیت‌لب بیش از 30 میلیون کاربر ثبت‌نام شده دارد و توسط بیش از 50 درصد از شرکت‌های Fortune 100 از جمله Goldman Sachs، Airbus، T-Mobile، Lockheed Martin، Nvidia و UBS استفاده می‌شود.