GitLab Community Edition/Enterprise Edition bis 18.4.4/18.5.2/18.6.0 Requests Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.3 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in GitLab Community Edition and Enterprise Edition bis 18.4.4/18.5.2/18.6.0 ausgemacht. Sie wurde als problematisch eingestuft. Das betrifft eine unbekannte Funktionalität der Komponente Requests Handler. Mittels dem Manipulieren mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2025-12571 bekannt. Der Angriff kann über das Netzwerk angegangen werden. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine problematische Schwachstelle in GitLab Community Edition sowie Enterprise Edition bis 18.4.4/18.5.2/18.6.0 entdeckt. Hiervon betroffen ist ein unbekannter Codeblock der Komponente Requests Handler. Durch die Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-770 vorgenommen. Dies wirkt sich aus auf die Verfügbarkeit. CVE fasst zusammen:
GitLab has remediated an issue in GitLab CE/EE affecting all versions from 17.10 before 18.4.5, 18.5 before 18.5.3, and 18.6 before 18.6.1 that could have allowed an unauthenticated user to cause a Denial of Service condition by sending specifically crafted requests containing malicious JSON payloads.Die Schwachstelle wurde durch a92847865 als 579168 publik gemacht. Auf gitlab.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 31.10.2025 unter CVE-2025-12571 geführt. Das Ausnutzen gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. MITRE ATT&CK führt die Angriffstechnik T1499 für diese Schwachstelle.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 298821 (GitLab 17.10 < 18.4.5 / 18.5 < 18.5.3 / 18.6 < 18.6.1 (CVE-2025-12571)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade auf die Version 18.4.5, 18.5.3 oder 18.6.1 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (298821) und EUVD (EUVD-2025-199759) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://gitlab.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.4VulDB Meta Temp Score: 6.3
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 7.5
CNA Vector (GitLab): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-770 / CWE-400 / CWE-404
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 298821
Nessus Name: GitLab 17.10 < 18.4.5 / 18.5 < 18.5.3 / 18.6 < 18.6.1 (CVE-2025-12571)
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: Community Edition/Enterprise Edition 18.4.5/18.5.3/18.6.1
Timeline
31.10.2025 CVE zugewiesen27.11.2025 Advisory veröffentlicht
27.11.2025 VulDB Eintrag erstellt
15.02.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Hersteller: gitlab.comAdvisory: 579168
Person: a92847865
Status: Bestätigt
CVE: CVE-2025-12571 (🔒)
GCVE (CVE): GCVE-0-2025-12571
GCVE (VulDB): GCVE-100-333666
EUVD: 🔒
Eintrag
Erstellt: 27.11.2025 03:22Aktualisierung: 15.02.2026 23:58
Anpassungen: 27.11.2025 03:22 (66), 29.11.2025 02:19 (1), 15.02.2026 23:58 (2)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.