मुफ्त स्कैन करें

यह पृष्ठ अभी तक आपकी भाषा में अनुवादित नहीं हुआ है। हम इस पर काम कर रहे हैं, तब तक अंग्रेज़ी में सामग्री दिखाई जा रही है।

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2025-12669CVSS 5.4

CVE-2025-12669: XSS in GitLab Email Notifications

प्लेटफ़ॉर्म

gitlab

घटक

gitlab

में ठीक किया गया

18.11.3

NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2025-12669 describes a cross-site scripting (XSS) vulnerability discovered in GitLab Community Edition (CE) and Enterprise Edition (EE). This flaw allows an authenticated user to inject malicious HTML and JavaScript code into email notifications sent to other GitLab users. The vulnerability impacts versions from 15.11 before 18.9.7, 18.10 before 18.10.6, and 18.11 before 18.11.3. A fix is available in GitLab 18.11.3.

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

Successful exploitation of CVE-2025-12669 could allow an attacker to execute arbitrary JavaScript code within the context of a victim's GitLab account. This could lead to account takeover, data theft (including credentials, sensitive project data, and internal communications), and potentially even lateral movement within the GitLab environment. The injected script could be used to steal session cookies, redirect users to phishing sites, or deface GitLab pages. While the vulnerability requires authentication, a compromised account could provide a significant foothold for attackers, especially in organizations with privileged user accounts.

शोषण संदर्भअनुवाद हो रहा है…

The vulnerability was published on 2026-05-14. Currently, there is no public evidence of active exploitation campaigns targeting CVE-2025-12669. The vulnerability's severity is rated as Medium, indicating a moderate probability of exploitation. No KEV listing or EPSS score is currently available. Review the official GitLab advisory for further details and updates.

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N5.4MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकgitlab
विक्रेताGitLab
न्यूनतम संस्करण15.11.0
अधिकतम संस्करण18.11.3
में ठीक किया गया18.11.3

कमजोरी वर्गीकरण (CWE)

CWE-94

समयरेखा

  1. आरक्षित
  2. प्रकाशित

शमन और वर्कअराउंडअनुवाद हो रहा है…

The primary mitigation for CVE-2025-12669 is to upgrade GitLab to version 18.11.3 or later. If immediate upgrading is not possible, consider implementing stricter input validation on user-generated content within GitLab, particularly any data that is included in email notifications. While a direct workaround is not available, reviewing and potentially restricting the permissions of accounts suspected of malicious activity can help limit the potential impact. After upgrading, confirm the fix by sending a test email notification containing a simple HTML tag (e.g., <script>alert('test')</script>) and verifying that the script does not execute when the email is viewed by another user.

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad de inyección de código en las notificaciones por correo electrónico.  Esta actualización corrige la falta de sanitización adecuada de la entrada del usuario, previniendo la inyección de HTML y JavaScript.

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2025-12669 — XSS in GitLab Email Notifications?

CVE-2025-12669 is a cross-site scripting (XSS) vulnerability in GitLab CE/EE that allows authenticated users to inject malicious code into email notifications sent to other users due to improper input sanitization.

Am I affected by CVE-2025-12669 in GitLab Email Notifications?

You are affected if you are running GitLab CE/EE versions 15.11.0–18.11.3 and have not upgraded. Versions prior to 18.9.7, 18.10.6, and 18.11.3 are vulnerable.

How do I fix CVE-2025-12669 in GitLab Email Notifications?

Upgrade GitLab to version 18.11.3 or later to resolve the vulnerability. If immediate upgrading is not possible, consider stricter input validation.

Is CVE-2025-12669 being actively exploited?

There is currently no public evidence of active exploitation campaigns targeting CVE-2025-12669, but it remains a potential risk.

Where can I find the official GitLab advisory for CVE-2025-12669?

Refer to the official GitLab security advisory for detailed information and updates: [https://gitlab.com/security/advisories/](https://gitlab.com/security/advisories/)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...