Компания GitLab объявила о выпуске экстренных обновлений безопасности для своих платформ Community Edition (CE) и Enterprise Edition (EE). Новая серия патчей, версии 18.10.1, 18.9.3 и 18.8.7, устраняет двенадцать уязвимостей, три из которых имеют высокий уровень опасности. Среди наиболее серьёзных проблем - возможность обхода двухфакторной аутентификации, выполнение произвольных действий от имени других пользователей и внедрение вредоносного кода. Разработчики настоятельно рекомендуют всем администраторам самоуправляемых инсталляций GitLab немедленно обновиться, чтобы предотвратить потенциальные атаки, которые могут привести к компрометации целых репозиториев, утечке данных и остановке работы систем.
Детали уязвимостей
Атаки на системы контроля версий представляют особую опасность для бизнеса, поскольку такие платформы являются хранилищем интеллектуальной собственности, исходного кода и конфиденциальной информации. Успешная эксплуатация уязвимостей в GitLab может дать злоумышленникам доступ к "сердцу" разработки, позволив не только украсть данные, но и внедрить вредоносный код непосредственно в производственные процессы. Стоит отметить, что большинство выявленных недостатков были обнаружены независимыми исследователями в рамках программы Bug Bounty на платформе HackerOne, что подчёркивает эффективность подобных инициатив. В свою очередь, облачный сервис GitLab.com уже работает на исправленной версии, а клиентам GitLab Dedicated не требуется предпринимать никаких действий.
Наиболее серьёзной из устранённых проблем стала уязвимость, получившая идентификатор CVE-2026-2370 и оценку 8.1 по шкале CVSS. Она затрагивала интеграцию с Atlassian Jira и могла позволить аутентифицированному пользователю с минимальными правами в рабочем пространстве получить учётные данные установки и выдать себя за приложение GitLab. Эта ошибка контроля доступа открывала путь к полному контролю над интеграцией и потенциальной компрометации связанных систем. Между тем, другая высокоуровневая уязвимость CVE-2026-3857, также оценённая в 8.1 балла, связана с недостаточной защитой от межсайтовой подделки запроса (CSRF, Cross-Site Request Forgery) в API GraphQL. Неавторизованный злоумышленник мог с помощью специально созданной веб-страницы заставить браузер аутентифицированного пользователя выполнить произвольные GraphQL-мутации, что является классическим примером атаки с повышенными привилегиями.
Отдельного внимания заслуживает уязвимость CVE-2026-2745, позволяющая обойти двухфакторную аутентификацию на основе стандарта WebAuthn. Несогласованность при проверке входных данных в процессе аутентификации давала неавторизованному пользователю возможность получить несанкционированный доступ к учётным записям, защищённым этим методом. Для организаций, полагающихся на строгую проверку подлинности, такая брешь представляет прямую угрозу безопасности всей инфраструктуры. Кроме того, была устранена опасная проблема типа "отказ в обслуживании" (Denial of Service, DoS) CVE-2026-3988 в GraphQL API. Неправильная обработка входных данных позволяла любому удалённому пользователю отправить специальный запрос, приводящий к неотвечающему состоянию всего экземпляра GitLab, что парализует процессы разработки и непрерывной интеграции (CI/CD).
Среди уязвимостей средней степени опасности выделяется CVE-2026-2995 - внедрение HTML-кода в отчёты о уязвимостях в Enterprise Edition. Аутентифицированный пользователь мог добавить произвольные электронные адреса к целевым учётным записям из-за недостаточной очистки HTML-контента, что является разновидностью атаки с применением межсайтовых сценариев (XSS, Cross-Site Scripting). В свою очередь, уязвимость CVE-2026-2973, также классифицируемая как XSS, была обнаружена в механизме визуализации диаграмм Mermaid. Ошибка в обработке содержимого с экранированными символами позволяла выполнить произвольный JavaScript-код в браузере жертвы. Подобные атаки часто используются для кражи сессионных файлов cookie или перенаправления пользователей на фишинговые сайты.
Эксперты подчёркивают, что данный пакет обновлений закрывает широкий спектр векторов атаки: от удалённого выполнения кода и нарушения целостности данных до полного отказа системы. Особенностью этого набора исправлений является его комплексность - затронуты такие ключевые компоненты, как API GraphQL, механизмы аутентификации, обработка конфигураций CI/CD и веб-перехватчиков (webhooks), а также система управления доступом. Для специалистов по кибербезопасности это сигнал о необходимости срочного аудита всех самоуправляемых инсталляций GitLab. Временное окно между публикацией патчей и потенциальным появлением эксплойтов в открытом доступе крайне мало, учитывая популярность платформы и публичный характер выпущенных бюллетеней.
Таким образом, выпуск патчей 18.10.1, 18.9.3 и 18.8.7 является обязательным к немедленному применению. Задержка с обновлением создаёт неприемлемые риски для организаций, чья деятельность зависит от стабильности и конфиденциальности процессов разработки. Администраторам следует не просто установить обновления, но и проверить логи на предмет возможных признаков компрометации, особенно в части запросов к GraphQL API и попыток аутентификации. Проактивный подход к управлению уязвимостями в критически важном программном обеспечении, таком как GitLab, остаётся краеугольным камнем современной стратегии защиты корпоративной ИТ-инфраструктуры.
