Компания GitLab выпустила внеочередной пакет обновлений для своей платформы управления исходным кодом. Речь идёт сразу о шести уязвимостях, которые затронули как Community Edition, так и Enterprise Edition. Проблемы обнаружились в версиях от 12.7 до 18.10.7, от 18.11 до 18.11.4 и от 19.0 до 19.0.1. Наибольшую опасность представляет уязвимость с идентификатором CVE-2026-4868, получившая 8,2 балла по шкале CVSS (Common Vulnerability Scoring System - стандарт оценки критичности уязвимостей). Она позволяет злоумышленнику подменить личность другого пользователя в рабочих процессах Duo AI, что чревато серьёзными компрометациями.
Детали уязвимостей
GitLab - одна из самых распространённых платформ для совместной разработки. Её используют тысячи компаний по всему миру, в том числе крупные банки, государственные учреждения и технологические гиганты. Уязвимости в системе авторизации и проверки личности могут привести к утечке конфиденциального кода, данных о развёртывании и даже к нарушению целостности процессов непрерывной интеграции (CI). В результате бизнес рискует потерять контроль над интеллектуальной собственностью или понести финансовые потери из-за простоев.
Самая серьёзная находка - CVE-2026-4868. Её суть заключается в обходе авторизации через управляемый пользователем ключ. Проще говоря, аутентифицированный участник с правами разработчика мог заставить систему выполнять определённые действия с искусственным интеллектом от имени другого человека. Атака требовала нестандартных условий, но при их совпадении злоумышленник получал возможность запускать рабочие процессы Duo AI так, словно он - другой пользователь. Это не просто нарушение конфиденциальности, а полноценная подмена личности в доверенной среде. Ведь Duo AI - это инструмент, который помогает разработчикам автоматизировать рутинные задачи и анализировать код.
Остальные уязвимости менее критичны, но тоже заслуживают внимания. Например, CVE-2026-1402 (6,5 балла) связана с нехваткой ограничений на выделение ресурсов. Аутентифицированный пользователь мог вызвать отказ в обслуживании (DoS - атака, направленная на вывод системы из строя) из-за недостаточной проверки входных данных. Представьте, что кто-то из ваших коллег случайно или намеренно отправляет такой запрос, и весь сервер GitLab перестаёт отвечать. В этот момент команда не может ни закоммитить код, ни запустить сборку.
Ещё одна проблема - CVE-2026-2601 (4,3 балла). Она затрагивает только Enterprise Edition. Разработчик с соответствующими полномочиями мог получить доступ к конфиденциальным данным развёртывания проектов. На практике это означает, что информация о том, как и где размещается продакшн, оказывается доступна не тем, кому нужно. Такие сведения могут стать отличной мишенью для злоумышленников, планирующих атаку на инфраструктуру.
Уязвимость CVE-2026-5296 (4,3 балла) тоже относится к Enterprise Edition. Она позволяла разработчикам обходить ограничения потоков, настроенные на уровне группы. Допустим, администратор установил правило, запрещающее определённые действия в рамках рабочего процесса. Из-за этой ошибки участник с ролью разработчика всё равно мог их выполнить. Это подрывает всю систему управления доступом.
CVE-2026-6713 (5,3 балла) касалась некорректной проверки авторизации. Неавторизованный пользователь мог просматривать список приватных проектов. Для тех, кто работает над закрытыми коммерческими продуктами, это прямой риск раскрытия информации конкурентам. Одно дело, когда проект скрыт, и другое - когда кто-то может перечислить его название, описание и участников.
Последняя из шести - CVE-2026-8716 (4,3 балла). Она связана с неверным разрешением имени или ссылки. Аутентифицированный пользователь получал доступ к данным CI из другого типа ссылки, чем предполагалось. Проще говоря, система ошибалась, какой именно ветке или тегу принадлежит информация, и показывала чужую историю сборок. Хотя объём утечки ограничен, он всё же может дать злоумышленнику дополнительные сведения о внутренних процессах.
Важно отметить, что в релизных заметках GitLab упоминалась ещё одна уязвимость - CVE-2026-2710. Однако она была отозвана, и её влияние не подтверждено. Таким образом, реальную угрозу представляют именно шесть описанных проблем.
Какие последствия могут возникнуть для организаций, которые не спешат с обновлением? Во-первых, злоумышленники, уже имеющие учётную запись в системе, могут эскалировать свои привилегии или получить доступ к данным, которые не предназначены для их роли. Во-вторых, подмена личности в Duo AI открывает дорогу к манипуляции с действиями, которые система считает инициированными другим человеком. Это может использоваться для внедрения вредоносного кода или саботажа процессов. В-третьих, утечка приватных проектов и CI-данных подрывает репутацию компании и может привести к нарушению нормативных требований, например, в сфере защиты персональных данных.
Что делать специалистам по информационной безопасности?
В первую очередь, необходимо как можно скорее обновить GitLab до версий, в которых исправлены эти уязвимости: 18.10.7, 18.11.4 или 19.0.1 в зависимости от текущей ветки. Для тех, кто использует GitLab Enterprise Edition, следует обратить особое внимание на патчи, закрывающие проблемы с авторизацией и управлением идентичностью. Кроме того, стоит проверить логи на предмет необычной активности, особенно в части запуска рабочих процессов Duo AI.
Впрочем, не стоит ограничиваться только установкой обновлений. Рекомендуется пересмотреть права доступа разработчиков и убедиться, что никто не имеет избыточных привилегий. Полезно также включить многофакторную аутентификацию для всех учётных записей, чтобы даже при утечке пароля злоумышленник не мог легко получить доступ к системе. И наконец, важно своевременно отслеживать бюллетени безопасности GitLab, чтобы не пропустить следующие патчи.
GitLab оперативно отреагировал на находки. В официальном релизе от 27 мая 2026 года компания подтвердила, что исправила логику проверки авторизации и улучшила механизм разрешения идентификаторов пользователей. Для разработчиков, которые следят за безопасностью, это хороший повод ещё раз убедиться: обновления - не просто формальность, а необходимая мера защиты. Игнорирование таких сигналов может стоить слишком дорого.
Ссылки
- https://about.gitlab.com/releases/2026/05/27/patch-release-gitlab-19-0-1-released/
- https://www.cve.org/CVERecord?id=CVE-2026-8716
- https://www.cve.org/CVERecord?id=CVE-2026-6713
- https://www.cve.org/CVERecord?id=CVE-2026-5296
- https://www.cve.org/CVERecord?id=CVE-2026-4868
- https://www.cve.org/CVERecord?id=CVE-2026-2601
- https://www.cve.org/CVERecord?id=CVE-2026-1402
