GitLab Community Edition/Enterprise Edition तक 18.3.5/18.4.3/18.5.1 Websocket Connection अधिकार वृद्धि
| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 5.0 | $0-$5k | 0.00 |
सारांश
एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, GitLab Community Edition and Enterprise Edition तक 18.3.5/18.4.3/18.5.1 में पाई गई है। प्रभावित तत्त्व है एक अपरिभाषित कार्य और Websocket Connection Handler घटक से संबंधित है। यह संशोधन अधिकार वृद्धि का कारण बन सकता है। यह भेद्यता CVE-2025-2615 के रूप में जानी जाती है। हमला दूरस्थ रूप से शुरू किया जा सकता है। कोई एक्सप्लॉइट उपलब्ध नहीं है. प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।
विवरण
एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, GitLab Community Edition and Enterprise Edition तक 18.3.5/18.4.3/18.5.1 में पाई गई है। प्रभावित तत्त्व है एक अपरिभाषित कार्य और Websocket Connection Handler घटक से संबंधित है। यह संशोधन अधिकार वृद्धि का कारण बन सकता है। CWE का उपयोग करके समस्या को घोषित करने से CWE-201 प्राप्त होता है। कमजोरी प्रकाशित की गई थी द्वारा rogerace के रूप में 526360. सलाह about.gitlab.com पर डाउनलोड हेतु साझा की गई है।
यह भेद्यता CVE-2025-2615 के रूप में जानी जाती है। CVE असाइनमेंट 21/03/2025 पर हुआ था. हमला दूरस्थ रूप से शुरू किया जा सकता है। कोई तकनीकी विवरण उपलब्ध नहीं है. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। कोई एक्सप्लॉइट उपलब्ध नहीं है. अभी के लिए एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है। यदि T1592 की लंबाई है, तो MITRE ATT&CK परियोजना इस हमले की तकनीक को T1592 के रूप में घोषित करती है।
इसे परिभाषित नहीं के रूप में घोषित किया गया है। वल्नरेबिलिटी स्कैनर Nessus ID 298863 वाला एक प्लगइन प्रदान करता है (GitLab 16.7 < 18.3.6 / 18.4 < 18.4.4 / 18.5 < 18.5.2 (CVE-2025-2615)), जो लक्ष्य वातावरण में खामी की उपस्थिति का पता लगाने में मदद करता है।
18.3.6, 18.4.4 , 18.5.2 संस्करण में अपग्रेड करने से यह समस्या सुलझ सकती है। अपडेट किया गया संस्करण about.gitlab.com पर डाउनलोड के लिए उपलब्ध है। प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।
कमजोरी अन्य कमजोरी डेटाबेस में भी प्रलेखित है: Tenable (298863).
प्रभावित
- Open Source GitLab
उत्पाद
प्रकार
विक्रेता
नाम
संस्करण
लाइसेंस
वेबसाइट
- विक्रेता: https://gitlab.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔒VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 5.0VulDB मेटा अस्थायी स्कोर: 5.0
VulDB मूल स्कोर: 4.3
VulDB अस्थायी स्कोर: 4.1
VulDB वेक्टर: 🔒
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 6.5
NVD वेक्टर: 🔒
CNA मूल स्कोर: 4.3
CNA वेक्टर (GitLab): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔒
VulDB अस्थायी स्कोर: 🔒
VulDB विश्वसनीयता: 🔍
शोषण
वर्ग: अधिकार वृद्धिCWE: CWE-201 / CWE-200 / CWE-284
CAPEC: 🔒
ATT&CK: 🔒
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔒
स्थिति: परिभाषित नहीं
EPSS Score: 🔒
EPSS Percentile: 🔒
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔒
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 298863
Nessus नाम: GitLab 16.7 < 18.3.6 / 18.4 < 18.4.4 / 18.5 < 18.5.2 (CVE-2025-2615)
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: अपग्रेडस्थिति: 🔍
0-दिवसीय समय: 🔒
अपग्रेड: Community Edition/Enterprise Edition 18.3.6/18.4.4/18.5.2
समयरेखा
21/03/2025 CVE आरक्षित15/11/2025 सलाह जारी की गई
15/11/2025 VulDB प्रविष्टि बनाई गई
13/02/2026 VulDB अंतिम अद्यतन
स्रोत
विक्रेता: gitlab.comसलाह: 526360
शोधकर्ता: rogerace
स्थिति: पुष्टि की गई
CVE: CVE-2025-2615 (🔒)
GCVE (CVE): GCVE-0-2025-2615
GCVE (VulDB): GCVE-100-332575
EUVD: 🔒
CERT Bund: WID-SEC-2025-2587 - GitLab: Mehrere Schwachstellen
प्रविष्टि
बनाया गया: 15/11/2025 02:43 PMअद्यतनित: 13/02/2026 01:20 PM
परिवर्तन: 15/11/2025 02:43 PM (67), 15/11/2025 08:18 PM (1), 16/11/2025 07:01 PM (7), 20/11/2025 07:19 AM (11), 13/02/2026 01:20 PM (2)
पूर्ण: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें