PT-2025-41364 · Gitlab · Gitlab Ce/Ee

Brian Williams

Publicado

2025-10-08

Atualizado

2025-10-20

CVE-2025-11340

CVSS v3.1

7.7

Alta

Vetor

AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N

Nome do Software Vulnerável e Versões Afetadas GitLab EE versões 18.3 a 18.3.4 GitLab EE versões 18.4 a 18.4.2

Descrição Existe um problema de autorização na API GraphQL do GitLab EE. Mutações GraphQL com escopo incorreto poderiam permitir que usuários autenticados com tokens de API somente leitura realizassem operações de escrita não autorizadas em registros de vulnerabilidade sob certas condições. O problema permite a modificação não autorizada de dados de vulnerabilidade.

Recomendações Atualize o GitLab EE das versões 18.3 a 18.3.4 para uma versão mais recente e corrigida. Atualize o GitLab EE das versões 18.4 a 18.4.2 para uma versão mais recente e corrigida.

Exploit

Correção

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863

Identificadores relacionados

BDU:2025-14463

BIT-GITLAB-2025-11340

CVE-2025-11340

Produtos afetados

Gitlab Ce/Ee

PT-2025-41364 · Gitlab · Gitlab Ce/Ee

CVE-2025-11340

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 18