Platform
gitlab
Component
gitlab
Opgelost in
18.8.9
18.9.5
18.10.3
CVE-2025-9484 is a security vulnerability identified in GitLab EE that allows authenticated users to potentially access the email addresses of other users. This occurs under specific circumstances involving certain GraphQL queries, posing a privacy risk. The vulnerability impacts GitLab EE versions from 16.6.0 through 18.10.3. A patch is available in version 18.10.3.
CVE-2025-9484 treft GitLab EE en stelt een geauthenticeerde gebruiker, onder bepaalde omstandigheden, in staat om toegang te krijgen tot de e-mailadressen van andere gebruikers via specifieke GraphQL-query's. De kwetsbaarheid bestaat in GitLab EE-versies vanaf 16.6 tot en met vóór 18.8.9, 18.9 vóór 18.9.5 en 18.10 vóór 18.10.3. De potentiële impact is de ongeautoriseerde openbaarmaking van gevoelige persoonlijke informatie, wat kan leiden tot privacy- en beveiligingsrisico's voor de getroffen gebruikers. Hoewel exploitatie specifieke GraphQL-kennis en een bepaalde configuratie vereist, vormt de mogelijkheid om toegang te krijgen tot de contactgegevens van andere gebruikers een aanzienlijk probleem. Het is cruciaal om de aangeboden beveiligingsupdate toe te passen om dit risico te beperken.
De kwetsbaarheid wordt uitgebuit via kwaadaardige GraphQL-query's. Een geauthenticeerde gebruiker met de juiste machtigingen kan een specifieke GraphQL-query construeren om de e-mailadressen van andere gebruikers te extraheren. Exploitatie vereist geen administratorrechten, maar vereist wel kennis van de GraphQL-structuur en het vermogen om query's te formuleren die e-mailvelden selecteren. De waarschijnlijkheid van exploitatie hangt af van de configuratie van de GitLab-instantie en de aanwezigheid van gebruikers met de technische expertise om deze query's te construeren. GitLab heeft maatregelen genomen om deze kwetsbaarheid in de gepatchte versies te beperken, door de toegang tot gevoelige informatie via GraphQL te beperken.
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
Om CVE-2025-9484 te verhelpen, wordt het ten zeerste aanbevolen om te upgraden naar GitLab EE-versie 18.10.3 of hoger, of naar een latere versie binnen de ondersteunde 18.8- of 18.9-branches. De update corrigeert de kwetsbaarheid door de toegang tot e-mailadressen via de betreffende GraphQL-query's te beperken. Raadpleeg de officiële GitLab-documentatie voor gedetailleerde instructies over hoe u uw GitLab-instantie kunt upgraden. Controleer bovendien uw beveiligings- en toegangsbeleid om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige informatie. De tijdige toepassing van deze update is essentieel om de privacy van gebruikers te beschermen en de beveiliging van uw GitLab-omgeving te waarborgen.
Actualice GitLab a la versión 18.8.9 o superior, 18.9.5 o superior, o 18.10.3 o superior. Esta actualización corrige una vulnerabilidad de autorización que permitía a usuarios autenticados acceder a las direcciones de correo electrónico de otros usuarios a través de ciertas consultas GraphQL.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Vulnerable versions are GitLab EE from 16.6 before 18.8.9, 18.9 before 18.9.5, and 18.10 before 18.10.3.
Immediately upgrade to GitLab EE version 18.10.3 or later, or to a later version within the supported 18.8 or 18.9 branches.
No, exploitation does not require administrator privileges, but it does require knowledge of GraphQL.
Primarily, the email addresses of other users.
Consult the official GitLab documentation and the CVE-2025-9484 security advisory.
CVSS-vector
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.