Plataforma
gitlab
Componente
gitlab
Corrigido em
18.8.9
18.9.5
18.10.3
Uma vulnerabilidade foi descoberta no GitLab EE que permite a usuários autenticados acessar endereços de email de outros usuários sob certas condições, através de consultas GraphQL específicas. Essa falha pode levar à exposição de informações sensíveis e comprometer a privacidade dos usuários. As versões afetadas incluem o GitLab EE nas versões de 16.6 até 18.10.3. Uma correção foi implementada e está disponível na versão 18.10.3.
A vulnerabilidade CVE-2025-9484 afeta o GitLab EE e permite que um usuário autenticado, em determinadas circunstâncias, acesse os endereços de e-mail de outros usuários por meio de consultas GraphQL específicas. A vulnerabilidade existe em versões do GitLab EE a partir da 16.6 até antes da 18.8.9, 18.9 antes da 18.9.5 e 18.10 antes da 18.10.3. O impacto potencial é a divulgação não autorizada de informações pessoais sensíveis, o que pode resultar em riscos de privacidade e segurança para os usuários afetados. Embora a exploração exija conhecimento específico de GraphQL e uma configuração particular, a possibilidade de acesso às informações de contato de outros usuários representa uma preocupação significativa. É crucial aplicar a atualização de segurança fornecida para mitigar este risco.
A vulnerabilidade é explorada por meio de consultas GraphQL maliciosas. Um usuário autenticado com as permissões apropriadas pode construir uma consulta GraphQL específica para extrair os endereços de e-mail de outros usuários. A exploração não requer privilégios de administrador, mas requer conhecimento da estrutura do GraphQL e a capacidade de formular consultas que selecionem os campos de e-mail. A probabilidade de exploração depende da configuração da instância do GitLab e da presença de usuários com o conhecimento técnico necessário para construir essas consultas. O GitLab implementou medidas para mitigar esta vulnerabilidade nas versões corrigidas, restringindo o acesso a informações confidenciais por meio do GraphQL.
Status do Exploit
EPSS
0.01% (percentil 3%)
CISA SSVC
Para remediar a CVE-2025-9484, é altamente recomendável atualizar para o GitLab EE versão 18.10.3 ou posterior, ou para uma versão posterior dentro das ramificações de suporte 18.8 ou 18.9. A atualização corrige a vulnerabilidade restringindo o acesso aos endereços de e-mail por meio das consultas GraphQL afetadas. Consulte a documentação oficial do GitLab para obter instruções detalhadas sobre como atualizar sua instância do GitLab. Além disso, revise suas políticas de segurança e acesso para garantir que apenas usuários autorizados tenham acesso a informações confidenciais. A aplicação oportuna desta atualização é essencial para proteger a privacidade dos usuários e manter a segurança do seu ambiente GitLab.
Actualice GitLab a la versión 18.8.9 o superior, 18.9.5 o superior, o 18.10.3 o superior. Esta actualización corrige una vulnerabilidad de autorización que permitía a usuarios autenticados acceder a las direcciones de correo electrónico de otros usuarios a través de ciertas consultas GraphQL.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
As versões vulneráveis são o GitLab EE a partir da 16.6 até antes da 18.8.9, 18.9 antes da 18.9.5 e 18.10 antes da 18.10.3.
Atualize imediatamente para o GitLab EE versão 18.10.3 ou posterior, ou para uma versão posterior dentro das ramificações de suporte 18.8 ou 18.9.
Não, a exploração não requer privilégios de administrador, mas requer conhecimento de GraphQL.
Principalmente, os endereços de e-mail de outros usuários.
Consulte a documentação oficial do GitLab e o aviso de segurança da CVE-2025-9484.
Vetor CVSS
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.