Компания GitLab объявила о выпуске внеочередных обновлений безопасности, закрывающих одиннадцать уязвимостей в версиях Community Edition (CE) и Enterprise Edition (EE). Среди них три ошибки высокой степени опасности, которые могли позволить злоумышленникам выполнять вредоносный код, подделывать запросы от имени авторизованных пользователей и похищать токены сессии. Патчи были опубликованы 22 апреля 2026 года в релизах 18.11.1, 18.10.4 и 18.9.6 для обеих редакций платформы.
Детали обновления
Облачная версия GitLab.com уже обновлена автоматически, а клиентам GitLab Dedicated не требуется никаких действий. Однако всем, кто использует самостоятельно развернутые установки (self-managed), настоятельно рекомендуют немедленно применить обновления. Особое внимание следует уделить трем уязвимостям, получившим наивысшие оценки по шкале CVSS (Common Vulnerability Scoring System - общепринятой системе оценки уязвимостей).
Первая из них - CVE-2026-4922 с оценкой 8,1 балла. Это ошибка типа межсайтовой подделки запроса (CSRF, Cross-Site Request Forgery) в интерфейсе GraphQL API (интерфейсе программирования приложений на языке запросов GraphQL). Она позволяла неаутентифицированному атакующему выполнять мутации GraphQL от имени прошедшего проверку подлинности пользователя, фактически захватывая его сессионные действия. Уязвимость затрагивает все версии GitLab от 17.0 до выхода обновления 18.9.6.
Вторая критическая уязвимость - CVE-2026-5816 с оценкой 8,0. Она связана с некорректной проверкой путей в компоненте Web IDE (веб-интегрированной среде разработки). Неаутентифицированный пользователь мог выполнить произвольный JavaScript-код в браузере жертвы, что вело к полному перехвату сессии. Проблема присутствует в версиях от 18.10 до 18.10.4. Третья высокая степень - CVE-2026-5262 (оценка 8,0) - ошибка межсайтового скриптинга (XSS, Cross-Site Scripting) в среде разработки Storybook. Из-за некорректной проверки входных данных неаутентифицированные пользователи могли получить доступ к аутентификационным токенам; эта уязвимость существует начиная с версии 16.1.
Помимо трех критических ошибок, GitLab исправил четыре уязвимости средней степени, связанные с отказом в обслуживании (Denial-of-Service, DoS). CVE-2025-0186, CVE-2025-6016 и CVE-2025-3922 получили оценку 6,5 каждая. Они позволяли аутентифицированным пользователям истощать серверные ресурсы с помощью специально сформированных запросов к конечным точкам обсуждений, заметок и GraphQL API соответственно. Еще одна DoS-уязвимость - CVE-2026-1660 (также 6,5) - давала возможность аутентифицированным пользователям вызывать отказ в обслуживании при импорте задач из Jira через некорректную проверку входных данных.
Также была закрыта уязвимость средней степени CVE-2026-6515 (оценка 5,4), связанная с недостаточной проверкой истечения срока действия сессии. Она обнаружена сотрудником GitLab Дэвидом Фернандесом. Ошибка позволяла использовать недействительные или некорректно отозванные учетные данные для доступа к виртуальным реестрам. Кроме того, устранены две уязвимости контроля доступа. CVE-2026-5377 (оценка 4,3) позволяла аутентифицированным пользователям просматривать заголовки конфиденциальных задач, а CVE-2025-9957 (оценка 2,7) - обходить политики, запрещающие создание форков репозиториев. Две оставшиеся уязвимости низкой степени - CVE-2026-3254 (ограничения пользовательского интерфейса в Mermaid Sandbox) и CVE-2025-9957 (уже упомянутая) - менее опасны, но их также необходимо устранить для полной защиты.
Большинство обнаруженных уязвимостей были ответственно раскрыты через программу bug bounty на платформе HackerOne исследователями, известными под псевдонимами ahacker1, joaxcar и pwnie. GitLab планирует опубликовать подробные уведомления безопасности по каждой уязвимости в своем трекере задач через 30 дней после выпуска патча.
Экстренный выпуск обновлений подчеркивает серьезность найденных проблем. Хотя GitLab своевременно отреагировал, инцидент напоминает о важности оперативного обновления инфраструктуры. Специалистам по безопасности следует незамедлительно проверить версии своих установок и применить патчи. Особенно это касается организаций, где GitLab используется как центральное хранилище кода и инструмент CI/CD (непрерывной интеграции и доставки). Атаки на такие системы могут привести не только к утечке исходного кода, но и к компрометации конвейеров сборки. Кроме того, стоит проанализировать журналы доступа на предмет подозрительной активности, особенно в части GraphQL-запросов и обращений к Web IDE. Возможно, были скомпрометированы сессии пользователей, поэтому рекомендуется выполнить принудительный выход всех активных сессий после обновления.
Между тем сам по себе факт наличия трех критических уязвимостей в одном релизе указывает на возможные системные проблемы с безопасностью кода. GitLab, вероятно, усилит внутренний аудит и процессы рецензирования. Впрочем, для пользователей сейчас главное - установить обновление и убедиться, что сторонние интеграции не используют незатронутые версии. Подводя итог, можно сказать, что последний пакет исправлений от GitLab стал одним из наиболее значимых за последнее время. Организациям, которые еще не перешли на патченные версии, стоит сделать это в ближайшие дни. Промедление может стоить контроля над собственными репозиториями и данными.
