प्लेटफ़ॉर्म
gitlab
घटक
gitlab
में ठीक किया गया
18.8.9
18.9.5
18.10.3
CVE-2025-9484 is a security vulnerability identified in GitLab EE that allows authenticated users to potentially access the email addresses of other users. This occurs under specific circumstances involving certain GraphQL queries, posing a privacy risk. The vulnerability impacts GitLab EE versions from 16.6.0 through 18.10.3. A patch is available in version 18.10.3.
CVE-2025-9484 GitLab EE को प्रभावित करता है और कुछ परिस्थितियों में, प्रमाणित उपयोगकर्ता को विशिष्ट GraphQL प्रश्नों के माध्यम से अन्य उपयोगकर्ताओं के ईमेल पतों तक पहुंचने की अनुमति देता है। यह भेद्यता GitLab EE के 16.6 से पहले 18.8.9, 18.9 से पहले 18.9.5 और 18.10 से पहले 18.10.3 संस्करणों में मौजूद है। संभावित प्रभाव प्रभावित उपयोगकर्ताओं के लिए गोपनीयता और सुरक्षा जोखिमों की ओर ले जा सकने वाले संवेदनशील व्यक्तिगत जानकारी का अनधिकृत प्रकटीकरण है। हालांकि शोषण के लिए विशिष्ट GraphQL ज्ञान और एक विशिष्ट कॉन्फ़िगरेशन की आवश्यकता होती है, लेकिन अन्य उपयोगकर्ताओं के संपर्क जानकारी तक पहुंचने की संभावना एक महत्वपूर्ण चिंता का विषय है। इस जोखिम को कम करने के लिए प्रदान किए गए सुरक्षा अपडेट को लागू करना महत्वपूर्ण है।
यह भेद्यता दुर्भावनापूर्ण GraphQL प्रश्नों के माध्यम से शोषण किया जाता है। उचित अनुमतियों वाले प्रमाणित उपयोगकर्ता अन्य उपयोगकर्ताओं के ईमेल पतों को निकालने के लिए एक विशिष्ट GraphQL प्रश्न बना सकते हैं। शोषण के लिए व्यवस्थापक विशेषाधिकार की आवश्यकता नहीं होती है, लेकिन GraphQL संरचना का ज्ञान और ईमेल फ़ील्ड का चयन करने वाले प्रश्नों को तैयार करने की क्षमता की आवश्यकता होती है। शोषण की संभावना GitLab उदाहरण के कॉन्फ़िगरेशन और इन प्रश्नों को बनाने के लिए आवश्यक तकनीकी विशेषज्ञता वाले उपयोगकर्ताओं की उपस्थिति पर निर्भर करती है। GitLab ने इस भेद्यता को कम करने के लिए पैच किए गए संस्करणों में GraphQL के माध्यम से संवेदनशील जानकारी तक पहुंच को प्रतिबंधित करके उपाय किए हैं।
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVE-2025-9484 को ठीक करने के लिए, GitLab EE संस्करण 18.10.3 या बाद के संस्करण में, या समर्थित 18.8 या 18.9 शाखाओं में बाद के संस्करण में अपग्रेड करने की पुरजोर अनुशंसा की जाती है। यह अपडेट प्रभावित GraphQL प्रश्नों के माध्यम से ईमेल पतों तक पहुंच को प्रतिबंधित करके भेद्यता को ठीक करता है। अपने GitLab उदाहरण को अपग्रेड करने के तरीके के बारे में विस्तृत निर्देशों के लिए आधिकारिक GitLab दस्तावेज़ देखें। इसके अतिरिक्त, अपनी सुरक्षा और एक्सेस नीतियों की समीक्षा करें ताकि यह सुनिश्चित हो सके कि केवल अधिकृत उपयोगकर्ताओं को संवेदनशील जानकारी तक पहुंच प्राप्त हो। इस अपडेट को समय पर लागू करना उपयोगकर्ता की गोपनीयता की रक्षा करने और आपके GitLab वातावरण की सुरक्षा बनाए रखने के लिए आवश्यक है।
Actualice GitLab a la versión 18.8.9 o superior, 18.9.5 o superior, o 18.10.3 o superior. Esta actualización corrige una vulnerabilidad de autorización que permitía a usuarios autenticados acceder a las direcciones de correo electrónico de otros usuarios a través de ciertas consultas GraphQL.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
भेद्य संस्करण GitLab EE के 16.6 से पहले 18.8.9, 18.9 से पहले 18.9.5 और 18.10 से पहले 18.10.3 संस्करण हैं।
GitLab EE संस्करण 18.10.3 या बाद के संस्करण में, या समर्थित 18.8 या 18.9 शाखाओं में बाद के संस्करण में तुरंत अपग्रेड करें।
नहीं, शोषण के लिए व्यवस्थापक विशेषाधिकार की आवश्यकता नहीं होती है, लेकिन GraphQL का ज्ञान आवश्यक है।
मुख्य रूप से अन्य उपयोगकर्ताओं के ईमेल पते।
आधिकारिक GitLab दस्तावेज़ और CVE-2025-9484 सुरक्षा सलाहकार देखें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।