- شناسه CVE-2025-8279 :CVE
- CWE-306 :CWE
- yes :Advisory
- منتشر شده: جولای 28, 2025
- به روز شده: جولای 28, 2025
- امتیاز: 8.7
- نوع حمله: Unknown
- اثر گذاری: Arbitrary code execution(ACE)
- حوزه: برنامه نویسی
- برند: GitLab
- محصول: GitLab
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری با شدت بالا در GitLab Language Server نسخههای 7.6.0 تا قبل از 7.30.0 شناسایی شده است. این آسیب پذیری به دلیل عدم اعتبارسنجی ورودی، امکان اجرای کوئری های GraphQL دلخواه را فراهم میکند.
توضیحات
آسیبپذیری CVE-2025-8279 در کامپوننت پردازشگر کوئری های GraphQL به دلیل عدم وجود احراز هویت برای عملکردهای حیاتی، امکان اجرای کوئری های GraphQL دلخواه را بدون نیاز به احراز هویت فراهم میکند. این آسیب پذیری محرمانگی و یکپارچگی سیستم را تحت تاثیر قرار می دهد. بهرهبرداری از آن دشوار بوده، اما میتواند از راه دور انجام شود و نیازی به تعامل کاربر یا دسترسی اولیه ندارد. این آسیبپذیری در نسخه 7.30.0 با اصلاح اعتبارسنجی ورودی ها برطرف شده است.
CVSS
| Score | Severity | Version | Vector String |
| 8.7 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 7.6.0 before 7.30.0 | GitLab Language Server |
لیست محصولات بروز شده
| Versions | Product |
| 7.30.0 | GitLab Language Server |
نتیجه گیری
با توجه به سطح ریسک بالا، به کاربران GitLab Language Server اکیداً توصیه میشود در اسرع وقت به نسخه 7.30.0 یا بالاتر بهروزرسانی کنند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-8279
- https://www.cvedetails.com/cve/CVE-2025-8279/
- https://gitlab.com/gitlab-org/gitlab/-/issues/538205
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8279
- https://vuldb.com/?id.317923
- https://nvd.nist.gov/vuln/detail/CVE-2025-8279
- https://cwe.mitre.org/data/definitions/306.html
