13 мая 2026 года GitLab выпустил внеочередное обновление безопасности, которое закрывает 25 уязвимостей в версиях Community Edition (CE) и Enterprise Edition (EE). Четыре из них имеют рейтинг 8,7 по шкале CVSS (общая система оценки уязвимостей) и позволяют злоумышленнику незаметно захватить сессии пользователей. Ещё три уязвимости класса "отказ в обслуживании" (DoS) могут быть использованы без аутентификации и способны полностью парализовать работу конвейеров непрерывной интеграции и доставки (CI/CD). Особенно опасны эти проблемы для компаний, которые управляют собственными установками GitLab: облачная платформа GitLab.com уже получила исправления, а инстансы под управлением администраторов остаются под угрозой.
Детали уязвимостей
Наиболее серьёзные уязвимости - это четыре проблемы межсайтового скриптинга (XSS). Они связаны с неправильной очисткой вводимых данных в панели управления аналитики, глобальном поиске, выводе Duo Agent и настраиваемых аналитических дашбордах (панелях управления). Для их эксплуатации достаточно иметь стандартные права разработчика. Внедрив произвольный JavaScript в браузер другого пользователя, атакующий может перехватить активные сессии, похитить токены аутентификации, изменить содержимое репозиториев или загрузить вредоносный код без немедленного обнаружения. По сути, скомпрометированная учётная запись или злонамеренный инсайдер получают инструмент для скрытного манипулирования кодом и данными.
Ещё три уязвимости класса "отказ в обслуживании" получили оценку 7,5 по CVSS. Они не требуют аутентификации: любой внешний злоумышленник может отправить специально сформированные HTTP-запросы или JSON-нагрузки (полезная нагрузка) в API обновления задач CI/CD, API Duo Workflows или внутренние конечные точки API. В результате сервер начинает потреблять чрезмерные ресурсы и перестаёт отвечать на легитимные запросы. Атака способна остановить конвейеры развёртывания ПО и привести к дорогостоящим простоям производства. Эти проблемы затрагивают все версии GitLab CE и EE, начиная с версии 9.0 для CI/CD API и с 18.5 для остальных.
Помимо высококритичных уязвимостей, разработчики устранили более десятка проблем среднего уровня опасности. Среди них - ошибка авторизации в GraphQL (CVE-2026-1322), которая позволяла пользователю с ограниченным OAuth-токеном (токен с областью read_api) создавать задачи и оставлять комментарии в приватных проектах. Также исправлена уязвимость подделки межсайтовых запросов (CSRF) в подписках JiraConnect, дающая возможность несанкционированно создавать подписки на закрытые пространства имён. Несколько проблем касались доступа к защищённым ресурсам: например, через NuGet Symbol Server неаутентифицированные пользователи могли скачивать приватные символы отладки, а разработчики могли обходить правила защиты пакетов Helm и PyPI. Отдельно стоит отметить уязвимость CVE-2026-4524 в Issues API - она позволяла аутентифицированному пользователю просматривать содержание конфиденциальных задач в публичных проектах.
Некоторые исправления относятся к функциональности корпоративной версии GitLab EE: например, ошибка в правилах утверждения владельцами кода, которая давала разработчику возможность удалять эти правила из запросов на слияние, а также уязвимость в переназначении политик безопасности, создававшая риск обхода требований утверждения. Все средние проблемы, хотя и менее опасны, в совокупности создают серьёзную поверхность атаки на конфиденциальность и целостность данных.
Важно отметить, что уязвимости были обнаружены как внутренними исследователями GitLab, так и сторонними специалистами через программу bug bounty на HackerOne. Это значит, что информация о некоторых из них могла быть известна злоумышленникам до выхода патча.
Для защиты инфраструктуры разработки администраторам самоуправляемых инстанций необходимо немедленно обновить GitLab до версий 18.11.3, 18.10.6 или 18.9.7. Пользователи облачной платформы GitLab.com уже находятся под защитой - никаких дополнительных действий от них не требуется. Компании, использующие GitLab Dedicated, также могут не беспокоиться: исправления применяются автоматически с провайдером.
Выпуск столь масштабного патча подчёркивает, что даже зрелые платформы управления кодом остаются уязвимыми перед атаками, ориентированными на веб-интерфейсы и API. Сочетание XSS и неаутентифицированного DoS создаёт уникальную угрозу: пока одна уязвимость позволяет остановить работу CI/CD, другая - незаметно украсть исходный код или учётные данные. Своевременное обновление - единственный способ снизить риски до того, как компании столкнутся с последствиями эксплуатации этих недостатков.
Ссылки
