CVE-2025-6454

Nome do Software Vulnerável e Versões Afetadas Versões do GitLab CE/EE de 16.11 até 18.3.2

Descrição Foi descoberto um problema no GitLab CE/EE que permite a usuários autenticados realizar solicitações internas não intencionais através de ambientes de proxy injetando sequências manipuladas. A vulnerabilidade reside no tratamento de cabeçalhos de webhook, potencialmente expondo endpoints internos. Estima-se que aproximadamente 37% das instâncias do GitLab na Runet sejam potencialmente afetadas, representando cerca de 30.000 instâncias ativas. A exploração é possível a partir da função 'Developer' e não requer interação do usuário. Os indicadores de comprometimento incluem solicitações com cabeçalhos HTTP não padrão e chamadas internas para APIs de proxy/metadados/locais.

Recomendações Atualize o GitLab para a versão 18.1.6, 18.2.6 ou 18.3.2 ou superior. Verifique as configurações de webhook e remova ou restrinja a capacidade de usar cabeçalhos HTTP não padrão, especialmente se forem controlados pelo usuário. Se o GitLab estiver implantado atrás de um proxy reverso ou em uma infraestrutura de rede complexa, limite os recursos internos que o GitLab pode acessar.