GitLab выпустил внеочередной пакет обновлений безопасности для Community Edition (CE) и Enterprise Edition (EE). Исправления охватывают 12 уязвимостей, две из которых получили оценку 8,7 по шкале CVSS 3.1. Проблемы затрагивают механизмы управления групповой SAML-идентификацией, панели аналитики, API различных подсистем, каталог CI/CD и импорт репозиториев через Gitaly. Администраторам настоятельно рекомендуется выполнить обновление до версий 19.0.2, 18.11.5 или 18.10.8 в зависимости от используемой ветки.
Детали уязвимостей
Наиболее опасная уязвимость, зарегистрированная как CVE-2026-6552, связана с некорректным контролем доступа в Group SAML Identity API. Она присутствует только в GitLab EE, начиная с версии 15.5. При определённых условиях аутентифицированный пользователь с ролью владельца группы (Group Owner) может получить возможность перехватить учётную запись другого участника группы. Причина - ошибка авторизации в процессе управления SAML-идентификацией. Эксплуатация потенциально способна привести к полному захвату аккаунта и несанкционированному доступу к данным, связанным с правами захваченного участника.
Вторая уязвимость с тем же баллом 8,7 - CVE-2026-10087 - представляет собой межсайтовый скриптинг (XSS) в компоненте Analytics Dashboard. Она также характерна только для GitLab EE, затрагивает версии с 17.1. Аутентифицированный пользователь с правами разработчика (Developer) может внедрить вредоносный клиентский код, который выполняется в браузере целевого пользователя. Причина - недостаточная санитация входных данных в панели аналитики. При успешной атаке возможен угон сессии и последующее повышение привилегий в рамках GitLab.
Помимо двух критических, в выпуск вошли несколько менее серьёзных, но всё же опасных уязвимостей. CVE-2026-7250 (CVSS 7.5) позволяет неаутентифицированному пользователю вызвать отказ в обслуживании через некорректную обработку JSON в промежуточном слое API Grape. Уязвимость CVE-2026-8589 (CVSS 7.3) даёт возможность аутентифицированному пользователю добавлять несанкционированные адреса электронной почты в учётную запись жертвы из-за ошибки санитации HTML в настройках групп. CVE-2026-1500 (CVSS 6.5) - ещё один вектор отказа в обслуживании, связанный с неконтролируемым потреблением ресурсов при загрузке специально сформированного файла через API Placeholder Reassignments.
Среди уязвимостей среднего и низкого уровня значимости - подделка межсерверных запросов (SSRF) в процессе импорта репозитория через Gitaly (CVE-2026-9204, CVSS 5.3), неправильный контроль доступа в API слияния запросов (CVE-2026-6269, CVSS 5.4), а также несколько ошибок, позволяющих скрывать изменения в diff-представлении (CVE-2026-6976, CVSS 3.7) или получать доступ к конфиденциальным деталям задач через API Todos (CVE-2026-3553, CVSS 3.1). Последняя в списке CVE-2026-9694 (CVSS 2.6) касается подмены бота поддержки GitLab через специально сформированный ответ на письмо Service Desk.
В официальном бюллетене GitLab подчёркивается, что для одноузловых развёртываний обновление потребует перерыва в работе из-за миграции базы данных. Для многоузловых сред доступна процедура обновления без остановки сервиса. Разработчики также рекомендуют после установки патчей проверить журналы аудита на предмет подозрительной активности в затронутых компонентах и, при наличии признаков эксплуатации, рассмотреть ротацию чувствительных учётных данных.
Все перечисленные уязвимости были обнаружены в рамках программы Bug Bounty на платформе HackerOne, за исключением одной, найденной внутренним сотрудником GitLab. Компания уже включила необходимые исправления в стабильные релизы. Организациям, использующим самостоятельное размещение GitLab, следует как можно скорее запланировать обновление до одной из трёх указанных версий, поскольку многие из проблем могут быть скомбинированы злоумышленниками для расширения первоначального воздействия.
Ссылки
