VDB-326068 · CVE-2025-7691 · Issue 555786

GitLab Enterprise Edition bis 18.2.6/18.3.2/18.4.0

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
6.5	$0-$5k	0.00

Zusammenfassunginfo

In GitLab Enterprise Edition bis 18.2.6/18.3.2/18.4.0 wurde eine problematische Schwachstelle ausgemacht. Betroffen davon ist eine unbekannte Funktion. Durch das Beeinflussen mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2025-7691. Umgesetzt werden kann der Angriff über das Netzwerk. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.

Detailsinfo

In GitLab Enterprise Edition bis 18.2.6/18.3.2/18.4.0 wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. CWE definiert das Problem als CWE-267. Mit Auswirkungen muss man rechnen für die Integrität. CVE fasst zusammen:

A privilege escalation issue has been discovered in GitLab EE affecting all versions from 16.6 prior to 18.2.7, 18.3 prior to 18.3.3, and 18.4 prior to 18.4.1 that could have allowed a developer with specific group management permissions to escalate their privileges and obtain unauthorized access to additional system capabilities.

Die Schwachstelle wurde durch rogerace als 555786 an die Öffentlichkeit getragen. Das Advisory kann von gitlab.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 15.07.2025 mit CVE-2025-7691 vorgenommen. Sie gilt als leicht ausnutzbar. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1068.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 265981 (GitLab 16.6 < 18.2.7 / 18.3 < 18.3.3 / 18.4 < 18.4.1 (CVE-2025-7691)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.

Ein Upgrade auf die Version 18.2.7, 18.3.3 oder 18.4.1 vermag dieses Problem zu beheben.

Unter anderem wird der Fehler auch in den Datenbanken von Tenable (265981), EUVD (EUVD-2025-31323) und CERT Bund (WID-SEC-2025-2140) dokumentiert. Once again VulDB remains the best source for vulnerability data.

Betroffen

Open Source GitLab

Produktinfo

Typ

Bug Tracking Software

Hersteller

GitLab

Name

Enterprise Edition

Version

Lizenz

Kommerziell

Webseite

Hersteller: https://gitlab.com/

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.5
VulDB Meta Temp Score: 6.5

VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 8.8
NVD Vector: 🔒

CNA Base Score: 6.5
CNA Vector (GitLab): 🔒

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Unbekannt
CWE: CWE-267 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Nessus ID: 265981
Nessus Name: GitLab 16.6 < 18.2.7 / 18.3 < 18.3.3 / 18.4 < 18.4.1 (CVE-2025-7691)

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: Enterprise Edition 18.2.7/18.3.3/18.4.1

Timelineinfo

15.07.2025 CVE zugewiesen
26.09.2025 +73 Tage Advisory veröffentlicht
26.09.2025 +0 Tage VulDB Eintrag erstellt
30.09.2025 +4 Tage VulDB Eintrag letzte Aktualisierung