- شناسه CVE-2025-0555 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: مارس 3, 2025
- به روز شده: مارس 3, 2025
- امتیاز: 7.7
- نوع حمله: T1059.007
- اثر گذاری: Cross-Site Scripting(XSS)
- حوزه: سیستمعاملها و اجزای کلیدی آن
- برند: GitLab
- محصول: GitLab
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری در GitLab-EE شناسایی شده است. این مشکل باعث حمله XSS (Cross-Site Scripting) میشود. این آسیبپذیری با CVE-2025-0555 شناخته میشود و مهاجم میتواند از راه دور حمله را انجام دهد. توصیه میشود که به نسخههای جدیدتر ارتقا داده شود.
توضیحات
CWE مربوط به این آسیبپذیری، CWE-79 است که بیان میکند محصول موردنظر، ورودیهای کاربر را به درستی خنثیسازی (Sanitize) نمیکند و در نتیجه، دادههای آلوده به کد مخرب در صفحات وبی که برای دیگر کاربران نمایش داده میشود، درج میشود. این مشکل میتواند یکپارچگی (Integrity) اطلاعات را تحت تأثیر قرار دهد.
طبق توضیحات CVE، این ضعف امنیتی از نسخه 16.6 تا 17.7.5، 17.8.3 و 17.9.0 وجود دارد و در نسخههای جدیدتر (17.7.6، 17.8.4 و 17.9.1) برطرف شده است. این آسیبپذیری میتواند کنترلهای امنیتی را دور بزند و به مهاجم اجازه دهد که کدهای مخرب را در مرورگر کاربر اجرا کند. اکسپلویت این آسیبپذیری آسان بوده و میتواند از راه دور انجام شود، اما نیاز به تعامل کاربر دارد.
MITRE ATT&CK این حمله را تحت تکنیک T1059.007 دستهبندی میکند.
ابزار Nessus نیز یک پلاگین با ID 217013 ارائه کرده که میتواند وجود این آسیبپذیری را در سیستمهای هدف شناسایی کند.
CVSS
| Score | Severity | Version | Vector String |
| 7.7 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 16.6 before 17.7.6 | GitLab |
| affected from 17.8 before 17.8.4 | GitLab |
| affected from 17.9 before 17.9.1 | GitLab |
لیست محصولات بروزشده
| Versions | Product |
| 17.7.6 | GitLab |
| 17.8.4 | GitLab |
| 17.9.1 | GitLab |
نتیجه گیری
برای رفع این آسیبپذیری، از نسخه های بروزرسانی شده استفاده کنید.
