- شناسه CVE-2025-1278 :CVE
- CWE-1220 :CWE
- yes :Advisory
- منتشر شده: می 9, 2025
- به روز شده: می 9, 2025
- امتیاز: 5.3
- نوع حمله: Unknown
- اثر گذاری: Unknown
- حوزه: برنامه نویسی
- برند: GitLab
- محصول: GitLab
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در GitLab Community Edition و Enterprise Edition شناسایی شده است. این آسیبپذیری به عملکردی ناشناخته از مؤلفه “محدودیت دسترسیIP ” (IP Access Restriction) مربوط میشود. این مشکل میتواند منجر به ضعف در سطحبندی کنترل دسترسیها (insufficient granularity of access control) شود. این آسیبپذیری با شناسه CVE-2025-1278 ثبت شده و امکان اکسپلویت آن از راه دور وجود دارد. توصیه میشود نرمافزار به نسخههای جدید ارتقاء یابد.
توضیحات
در شرایط خاص، کاربران میتوانند این محدودیتها را دور بزنند و به اطلاعات حساس دسترسی پیدا کنند.
طبق طبقهبندی CWE، این مشکل تحت عنوان CWE-1220 شناخته میشود. این نوع ضعف زمانی رخ میدهد که مکانیزمهای کنترل دسترسی بهدرستی پیادهسازی نشدهاند و محدودیتهای اعمالشده آنقدر کلی هستند که دسترسی عوامل غیرمجاز به دادههای مهم را ممکن میسازند. نتیجه این آسیبپذیری، تهدید محرمانگی (confidentiality) دادهها است. اکسپلویت این آسیب پذیری آسان ارزیابی شده است. اجرای این حمله نیازی به احراز هویت ندارد و از راه دور قابل انجام است.
CVSS
| Score | Severity | Version | Vector String |
| 5.3 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 12.0 before 17.9.8 | GitLab |
| affected from 17.10 before 17.10.6 | GitLab |
| affected from 17.11 before 17.11.2 | GitLab |
لیست محصولات بروز شده
| Versions | Product |
| 17.9.8 | GitLab |
| 17.10.6 | GitLab |
| 17.11.2 | GitLab |
نتیجه گیری
بروزرسانی به یکی از نسخه های یاد شده در جدول محصولات بروزشده این آسیب پذیری را برطرف می کند.
منابع
