6
- شناسه CVE-2025-1908 :CVE
- CWE-840 :CWE
- yes :Advisory
- منتشر شده: آوریل 24, 2025
- به روز شده: آوریل 24, 2025
- امتیاز: 7.7
- نوع حمله: Logic error
- اثر گذاری: Account takeover risk
- حوزه: برنامه نویسی
- برند: GitLab
- محصول: GitLab
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیب پذیری از نوع Business Logic Errors در GitLab شناسایی شده است که می تواند مهاجمان را قادر به ردیابی فعالیت های مرورگر کاربران کند و درنهایت به تصاحب کامل حساب کاربری منجر شود.
توضیحات
آسیب پذیری CVE-2025-1908 در GitLab EE/CE شناسایی شده است و مهاجم می تواند با سوءاستفاده از آسیب پذیری در Business Logic، فعالیت های مرورگری کاربران را ردیابی کند. در صورت موفقیت آمیز بودن حمله، امکان دسترسی کامل به حساب کاربری وجود خواهد داشت.
CVSS
| Score | Severity | Version | Vector String |
| 7.7 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 16.6 before 17.9.7 | GitLab |
| affected from 17.10 before 17.10.5 | GitLab |
| affected from 17.11 before 17.11.1 | GitLab |
لیست محصولات بروز شده
| Versions | Product |
| 17.9.7 and later | GitLab |
| 17.10.5 and later | GitLab |
| 17.11.1 and later | GitLab |
نتیجه گیری
کاربران GitLab می بایست به منظور جلوگیری از تصاحب حساب کاربری، هرچه سریع تر به نسخه های امن تر به روزرسانی کنند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-1908
- https://www.cvedetails.com/cve/CVE-2025-1908/
- https://gitlab.com/gitlab-org/gitlab/-/issues/523065
- https://hackerone.com/reports/3016623
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-1908
- https://vuldb.com/?id.306060
- https://nvd.nist.gov/vuln/detail/CVE-2025-1908
- https://cwe.mitre.org/data/definitions/840.html
