Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-13345

Опубликовано: 22 окт. 2025
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость механизма обработки JSON-файлов программной платформы на базе git для совместной работы над кодом GitLab CE/EE связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированных GraphQL-запросов

Вендор

GitLab Inc.

Наименование ПО

Gitlab

Версия ПО

от 11.0 до 18.3.5 (Gitlab)
от 18.4 до 18.4.3 (Gitlab)
от 18.5 до 18.5.1 (Gitlab)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации сетевого трафика;
- ограничение доступа из внешних сетей (Интернет);
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование SIEM-систем для отслеживания событий, связанных с обработкой GraphQL-запросов;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://about.gitlab.com/releases/2025/10/22/patch-release-gitlab-18-5-1-released/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 15%
0.00049
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-11447

CVSS3: 7.5
ubuntu
около 2 месяцев назад

GitLab has remediated an issue in GitLab CE/EE affecting all versions from 11.0 before 18.3.5, 18.4 before 18.4.3, and 18.5 before 18.5.1 that could have allowed an unauthenticated attacker to cause a denial of service condition by sending GraphQL requests with crafted JSON payloads.

nvd логотип

CVE-2025-11447

CVSS3: 7.5
nvd
около 2 месяцев назад

GitLab has remediated an issue in GitLab CE/EE affecting all versions from 11.0 before 18.3.5, 18.4 before 18.4.3, and 18.5 before 18.5.1 that could have allowed an unauthenticated attacker to cause a denial of service condition by sending GraphQL requests with crafted JSON payloads.

debian логотип

CVE-2025-11447

CVSS3: 7.5
debian
около 2 месяцев назад

GitLab has remediated an issue in GitLab CE/EE affecting all versions ...

github логотип

GHSA-xgjv-46p6-hwgv

CVSS3: 7.5
github
около 2 месяцев назад

GitLab has remediated an issue in GitLab CE/EE affecting all versions from 11.0 before 18.3.5, 18.4 before 18.4.3, and 18.5 before 18.5.1 that could have allowed an unauthenticated attacker to cause a denial of service condition by sending GraphQL requests with crafted JSON payloads.

EPSS

Процентиль: 15%
0.00049
Низкий

7.5 High

CVSS3

7.8 High

CVSS2