CVE-2025-1908 | Business Logic Errors in GitLab

Exp

An issue has been discovered in GitLab EE/CE that could allow an attacker to track users' browsing activities, potentially leading to full account take-over, affecting all versions from 16.6 before 17.9.7, 17.10 before 17.10.5, and 17.11 before 17.11.1.

公開： 2025-04-24 最後更新： 2025-08-08 指派方： [email protected] 來源： [email protected]

NVD 狀態：Analyzed，CVE 狀態： published

檢視： NVD, CVE.org, EUVD

漏洞分析與風險評定（CVE-2025-1908）

EPSS CVSS CWE Exploit-DB Affected OS 追蹤

結論預警: CVE-2025-1908 綜合評估為存在公開利用（52/100）：CVSS 技術影響為高級，利用機率偏低（EPSS 0.06%）核心證據: 已收錄 1 筆公開利用參考（Exploit-DB）。強制指令: 存在公開利用—請盤點暴露面、落實緩解措施並優先修補。

風險隨態勢動態變化；本站持續評估並同步更新本頁展示內容。

CVE-2025-1908 的公開 exploit 引用（Exploit-DB）

EDB-ID	來源	類型	公開時間	連結
—	nvd_ref	exploit_tag		Exploit-DB ↗

CVE-2025-1908 的 EPSS（利用預測評分）

EPSS 日更估計相對被利用可能性；百分位表示該 CVE 在已評分漏洞中的相對排名（越高表示相對更嚴重）。

#	日期	舊 EPSS 分數	新 EPSS 分數	變化（新 − 舊）
1	2026-02-18	0.01%	0.06%	+0.05%
2	2025-04-24	—	0.01%	—

完整 EPSS 歷史（共 2 筆）

CVE-2025-1908 的 CVSS 指標

該 CVE 的 CVSS 指標。

底座分	版本	嚴重度	向量	可利用性	影響	分數來源
7.7	3.1	HIGH	`CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N` 點擊展開攻擊向量 (AV:N) 可經網際網路或企業內可路由網段從遠端觸達，攻擊者不必在裝置旁邊。攻擊複雜度 (AC:H) 即使網路可達，也常要卡時間窗、負載或特定版本組合才打得響。權限需求 (PR:L) 一般使用者權限即可，不必是管理員或 root。使用者互動 (UI:R) 需要一次明確的使用者動作（安裝、改設定、開啟惡意文件等）才會落地。作用域 (S:C) 可從脆弱點橫向波及其他元件或更高權限域，爆炸半徑更大。機密性影響 (C:H) 大量讀取、匯出或長期潛伏竊取機敏資料，在實務上成立。完整性影響 (I:H) 可竄改稽核紀錄、植入後門或大面積偽造業務資料，動搖信任根基。可用性影響 (A:N) 不至於造成業務意義上的長時間停擺或災難性效能崩塌。	1.3	5.8	[email protected]

CVE-2025-1908 的弱點列舉

CWE-840 MITRE ↗

CVE-2025-1908 的 OS 追蹤

vendor	priority	summary	link
`debian`	not yet assigned	CVE-2025-1908 not yet assigned priority: Debian including 1 source packages (gitlab), 1 status rows across 1 suites (sid): open 1.	https://security-tracker.debian.org/tracker/CVE-2025-1908
`ubuntu`	medium	CVE-2025-1908 medium priority: Ubuntu including 1 source packages (gitlab), 7 status rows across 7 suites (focal, jammy, noble, oracular, plucky, upstream, xenial): DNE 5, ignored 1, needs-triage 1.	https://ubuntu.com/security/CVE-2025-1908

CVE-2025-1908 的影響軟體 / 設定

廠商	產品	版本	原始 CPE
gitlab	gitlab	>= 16.6.0, < 17.9.7	cpe:2.3:a:gitlab:gitlab:::::community:::*
gitlab	gitlab	>= 16.6.0, < 17.9.7	cpe:2.3:a:gitlab:gitlab:::::enterprise:::*
gitlab	gitlab	>= 17.10.0, < 17.10.5	cpe:2.3:a:gitlab:gitlab:::::community:::*
gitlab	gitlab	>= 17.10.0, < 17.10.5	cpe:2.3:a:gitlab:gitlab:::::enterprise:::*
gitlab	gitlab	17.11.0	cpe:2.3:a:gitlab:gitlab:17.11.0::::community:::
gitlab	gitlab	17.11.0	cpe:2.3:a:gitlab:gitlab:17.11.0::::enterprise:::

CVE-2025-1908 的參考連結

URL	標籤
https://gitlab.com/gitlab-org/gitlab/-/issues/523065	Exploit Issue Tracking
https://hackerone.com/reports/3016623	Permissions Required

cvelogic Threat Intelligence