PT-2025-46905 · Gitlab · Gitlab Duo
Publicado
2025-11-12
·
Atualizado
2025-11-24
·
CVE-2025-6945
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do GitLab EE 17.8 até 18.3.6
Versões do GitLab EE 18.4 até 18.4.4
Versões do GitLab EE 18.5 até 18.5.2
Descrição
Um atacante autenticado poderia potencialmente vazar informações sensíveis de issues confidenciais. Isso é possível mediante a injeção de prompts ocultos em comentários de merge request. O problema afeta o GitLab EE e está relacionado à injeção de prompt, na qual entradas maliciosas podem manipular o comportamento de um aplicativo. A vulnerabilidade reside no tratamento de comentários de merge request e poderia permitir a divulgação não autorizada de dados confidenciais.
Recomendações
As versões do GitLab EE 17.8 até 18.3.6 devem ser atualizadas para a versão 18.3.6 ou posterior.
As versões do GitLab EE 18.4 até 18.4.4 devem ser atualizadas para a versão 18.4.4 ou posterior.
As versões do GitLab EE 18.5 até 18.5.2 devem ser atualizadas para a versão 18.5.2 ou posterior.
Exploit
Correção
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gitlab Duo