- شناسه CVE-2025-7337 :CVE
- CWE-770 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 12, 2025
- به روز شده: سپتامبر 12, 2025
- امتیاز: 6.5
- نوع حمله: Denial of Service
- اثر گذاری: Unknown
- حوزه: نرم افزارهای کاربردی
- برند: GitLab
- محصول: GitLab
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در GitLab CE/EE از نسخه 7.8 تا پیش از 18.1.6، 18.2 تا پیش از 18.2.6 و 18.3 تا پیش از 18.3.2 شناسایی شده است که به کاربران احراز هویتشده با سطح دسترسی Developer اجازه میدهد با بارگذاری فایلهای بزرگ، وضعیت انکار سرویس مداوم(persistent DoS) ایجاد کنند.
توضیحات
آسیبپذیری CVE-2025-7337 در GitLab CE/EE، پلتفرم محبوب DevOps، ناشی از تخصیص منابع بدون محدودیت یا کنترل (مطابق با CWE-770) است. این ضعف امنیتی به کاربران احراز هویتشده با سطح دسترسی Developer یا بالاتر اجازه میدهد با بارگذاری فایلهای بزرگ از طریق اندپوینتهای مدیریت فایل، وضعیت انکار سرویس مداوم ایجاد کنند که تمامی کاربران یک GitLab instance را تحت تأثیر قرار میدهد.
شدت این آسیبپذیری متوسط ارزیابی شده، از طریق شبکه قابل بهرهبرداری است و پیچیدگی حمله پایین بوده و نیازی به تعامل کاربر ندارد، اما دسترسی احراز هویتشده الزامی است. سوءاستفاده از این ضعف میتواند باعث اختلال در عملکرد GitLab instance، از جمله تأخیر در پردازش درخواستها یا از دسترس خارج شدن سرویس شود و عملیات توسعه، استقرار و CI/CD (Continuous Integration / Continuous Deployment – یک فرآیند خودکار برای ادغام کد و انتشار مداوم تغییرات در نرمافزار) را مختل کند.
GitLab این ضعف را در نسخههای 18.1.6، 18.2.6 و 18.3.2 با اعمال محدودیتهای منابع برای بارگذاری فایلها پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 7.8 before 18.1.6
affected from 18.2 before 18.2.6 affected from 18.3 before 18.3.2 |
GitLab |
لیست محصولات بروز شده
| Versions | Product |
| 18.1.6
18.2.6 18.3.2 |
GitLab |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که GitLab را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Product |
| 276,000 | GitLab |
نتیجه گیری
با توجه با ماهیت این آسیب پذیری و امکان ایجاد شرایط انکار سرویس توسط کاربران احراز هویت شده، راهکارهای کاهش ریسک زیر به منظور جلوگیری از آسیب پذیری توصیه می شود:
- بهروزرسانی فوری GitLab: تمامی نسخههای آسیبپذیر باید به نسخههای پچ شده (18.1.6، 18.2.6 یا 18.3.2) یا بالاتر به روزرسانی شوند تا محدودیت منابع برای بارگذاری فایل ها اعمال گردد.
- کنترل و محدودسازی منابع: اعمال محدودیت برای اندازه و تعداد فایلهای بارگذاریشده توسط کاربران با دسترسی Developer یا بالاتر.
- نظارت و لاگگیری فعالیتها: بررسی اندازه و تعداد بارگذاری فایلها برای شناسایی عملکردهای غیرعادی یا سوءاستفاده احتمالی.
- تفکیک و محدودسازی دسترسی کاربران: اعمال سیاستهای دسترسی دقیقتر برای توسعه دهندگان و محدود کردن قابلیتهای بارگذاری فایل ها به کاربران مورد اعتماد.
- آموزش تیمهای توسعه و عملیات: اطلاعرسانی به کاربران با دسترسی Developer درباره ریسک بارگذاری فایلهای بسیار بزرگ و تأثیر آن بر عملکرد سرویس.
این آسیب پذیری نشاندهنده اهمیت اعمال محدودیت و کنترل منابع در سامانههای اشتراکی و پلتفرمهای DevOps است. عدم اعمال محدودیت روی اندازه و تعداد فایلهای بارگذاریشده میتواند حتی توسط کاربران قانونی، سرویس را به طور موقت یا پایدار مختل کند و فرآیندهای توسعه و استقرار نرمافزار (CI/CD) را مختل نماید. بنابراین شناسایی و رفع این نوع آسیبپذیریها برای حفظ دسترسپذیری و عملکرد بهینه سرویس حیاتی است.
امکان استفاده در تاکتیک های Mitre Attack
Impact (TA0007)
این آسیبپذیری میتواند به انکار سرویس مداوم (Persistent DoS) منجر شود که تمام کاربران GitLab instance را تحت تأثیر قرار دهد و باعث اختلال در پردازش درخواستها و از دسترس خارج شدن سرویس شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-7337
- https://www.cvedetails.com/cve/CVE-2025-7337/
- https://about.gitlab.com/releases/2025/09/10/patch-release-gitlab-18-3-2-released/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-7337
- https://vuldb.com/?id.323738
- https://nvd.nist.gov/vuln/detail/CVE-2025-7337
- https://cwe.mitre.org/data/definitions/770.html
