12 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a =gitlab.
GitLab libera atualizações urgentes para corrigir falhas críticas que permitem negação de serviço e injeção de código em instâncias auto-hospedadas, afetando múltiplas versões da plataforma.
GitLab corrige 15 vulnerabilidades, incluindo XSS crítico e DoS em APIs. Versões 18.9.2, 18.8.6 e 18.7.6 disponíveis. Instâncias auto-gerenciadas devem atualizar.
O GitLab lançou patches para múltiplas vulnerabilidades de alta severidade (incluindo CVE‑2025‑7659) que permitem furto de tokens, DoS e XSS. Instâncias self‑hosted devem atualizar para 18.8.4/18.7.4/18.6.6 e planejar janelas de manutenção.
A CISA adicionou CVE‑2021‑39935 — uma falha SSRF no CI Lint API do GitLab — ao catálogo Known Exploited Vulnerabilities, indicando exploração ativa. A falha afeta edições Community e Enterprise; a agência exige remediação e recomenda aplicar patches, desativar o CI Lint API se necessário e revisar logs.
GitLab liberou correções de emergência (18.7.1, 18.6.3, 18.5.5) em 7/1/2026 para oito vulnerabilidades, incluindo CVE‑2025‑9222 (XSS armazenada, CVSS 8.7). Administradores self‑hosted devem atualizar imediatamente; single‑node requer migração com downtime.
GitLab divulgou patches para dez vulnerabilidades (incluindo XSS e DoS via GraphQL) e liberou versões 18.6.2, 18.5.4 e 18.4.6. Instâncias self‑hosted devem atualizar imediatamente; GitLab.com já executa as versões corrigidas.
Aikido Security descreveu a classe 'PromptPwnd', que permite injeção de prompts maliciosos em agentes de IA usados em pipelines CI/CD (GitHub Actions, GitLab). Um PoC contra o Gemini CLI levou à exposição de tokens; o Google corrigiu em quatro dias. Pesquisadores publicaram regras de detecção e recomendações práticas: sanitizar entradas, restringir ações de IA e reduzir escopos de tokens.
Scanner que varreu 5,6 milhões de repositórios públicos no GitLab Cloud encontrou mais de 17.000 segredos expostos relacionados a mais de 2.800 domínios. A reportagem traz os números agregados, mas não detalha tipos de segredos nem ações de remediação.
GitLab lançou patches para CE/EE (18.6.1, 18.5.3, 18.4.5) corrigindo CVE‑2024‑9183 (race condition no CI/CD cache) e CVE‑2025‑12571 (DoS por JSON malicioso), entre outras falhas. A recomendação é atualizar imediatamente instalações self‑managed.
Pesquisa do GitLab descreve um ataque massivo via pacotes npm que distribui uma variante de Shai‑Hulud com funcionalidade de wipe caso os atacantes percam controle de infraestrutura; o malware rouba tokens e se replica publicando pacotes infectados, criando risco sistêmico ao ecossistema JavaScript.