O GitLab pede que os usuários se atualizem após a correção de falhas de alto risco que afetam repositórios e serviços

O GitLab lançou novas atualizações de patches que abordam vários problemas de segurança de alta gravidade de segurança de alta gravidade que afetam suas plataformas Community Edition (CE) e Enterprise Edition (EE). As atualizações chegam nas versões 18.8.4, 18.7.4 e 18.6.6, e a empresa recomenda fortemente que todas as instalações autogerenciadas sejam atualizadas imediatamente. O GitLab já está executando a versão corrigidas enquanto os clientes do GitLab Dedicated não precisam tomar nenhuma providência.

Entre os problemas mais críticos resolvidos está o CVE-2025-7659, uma falha de alta gravidade (CVSS 8.0) envolvendo validação incompleta no Web IDE do GitLab. De acordo com o GitLab, a vulnerabilidade poderia ter permitido que invasores não autenticados roubassem tokens de acesso e potencialmente obtivessem acesso a repositórios privados. Várias vulnerabilidades de negação de serviço também foram corrigidas, incluindo a CVE-2025-8099, que poderia permitir que os invasores travassem os servidores por meio de consultas GraphQL repetidas, e a CVE-2026-0958, que poderia esgotar os recursos do sistema ignorando o middleware de validação JSON.

O patch também corrige vulnerabilidades de script entre sites e baseadas em injeção, como CVE-2025-14560 e CVE-2026-0595. Essas falhas podem permitir que invasores injetem scripts maliciosos ou manipulem o conteúdo sob determinadas condições. Outras vulnerabilidades de média gravidade que afetam o processamento de Markdown, painéis e riscos de falsificação de solicitações do lado do servidor (SSRF) também foram resolvidas, juntamente com várias falhas de autorização e validação de menor gravidade.

O GitLab afirma que as versões afetadas incluem todas as compilações de várias ramificações de lançamento antes dos patches recém-lançados. A empresa observa que segurança os detalhes das vulnerabilidades de segurança são normalmente divulgados 30 dias após o lançamento de uma correção. A organização enfatiza que a atualização para a última versão suportada é considerada essencial para manter as implementações seguras.

A versão de correção também inclui migrações de banco de dados que podem afetar temporariamente a disponibilidade. Nó único instalações devem sofrer tempo de inatividade durante as atualizações, enquanto as implantações de vários nós podem concluir a atualização sem tempo de inatividade ao seguir os procedimentos de atualização recomendados.

O GitLab segue um cronograma regular de lançamento de patches duas vezes por mês, mas pode emitir atualizações adicionais quando vulnerabilidades críticas são descobertas. A empresa aconselha os administradores a revisar as notas de versão, testar as atualizações em ambientes de preparação e implementar os patches mais recentes o mais rápido possível para reduzir os possíveis riscos de exploração.