GitLab закрыл восемь уязвимостей, включая критическую XSS с оценкой 8,7 балла CVSS

GitLab

Компания GitLab выпустила обновления безопасности для версий Community Edition (CE) и Enterprise Edition (EE), закрыв девять уязвимостей. Самой опасной из них стала проблема межсайтового скриптинга (XSS) в подсистеме отображения свидетельств уязвимостей, получившая оценку 8,7 балла по шкале CVSS. Патчи затронули версии до 19.1.2, 19.0.4 и 18.11.7 включительно.

Детали уязвимостей

Наибольшую угрозу представляет уязвимость CVE-2026-6896, затрагивающая только редакцию GitLab EE. При определённых условиях аутентифицированный пользователь с правами разработчика мог выполнить произвольные скрипты в браузере другого пользователя. Причина - недостаточная очистка пользовательского ввода в компоненте, отвечающем за отображение таблиц со свидетельствами уязвимостей. Это означает, что злоумышленник мог украсть сессионные данные, получить доступ к конфиденциальным проектам или изменить настройки от имени жертвы. Проблема проявляется во всех версиях GitLab EE начиная с 13.11. Исследователь под псевдонимом yvvdwf сообщил о ней через программу bug bounty на HackerOne.

Ещё одна XSS-уязвимость, CVE-2026-13320, связана с HTML-инъекцией при рендеринге вики-разметки. Она затрагивает как CE, так и EE. Для её эксплуатации требовались более высокие привилегии (аутентифицированный пользователь) и сложные условия (высокая сложность атаки), поэтому оценка CVSS составила 7,3. Уязвимость существует во всех версиях GitLab начиная с 15.7. За её обнаружение ответственны исследователи youzslan и a_m_a_m.

Серьёзную проблему конфиденциальности представляет CVE-2026-11827 - недостаточная защита учётных данных при зеркалировании репозиториев. В GitLab EE аутентифицированный пользователь с ролью мейнтейнера мог получить сохранённые учётные данные другого пользователя. Хотя атака требует прав среднего уровня, последствия высоки: утечка паролей или токенов доступа к внешним системам. Уязвимость присутствует начиная с версии 9.5 и оценена в 4,9 балла. За отчёт о ней компания поблагодарила исследователя rogerace.

Несколько уязвимостей классифицированы как проблемы контроля доступа. CVE-2026-8472 позволяет аутентифицированному пользователю с минимальными правами читать метаданные рабочих элементов (work items) из приватных проектов. Оценка CVSS - 4,3, затронуты версии GitLab EE с 18.9. Другая уязвимость, CVE-2026-7492, даёт возможность неаутентифицированному пользователю определить существование приватного проекта через страницы перекрёстных ссылок на коммиты. Та же оценка 4,3, подвержены версии CE/EE с 9.1. Проблема CVE-2026-13151 в групповых настройках GitLab EE позволяет аутентифицированному пользователю с высокими правами изменять настройки группы за пределами разрешённых границ; обнаружена внутренней командой GitLab. CVE-2026-6352 затрагивает управление записями о нарушениях комплаенса - аудитор может модифицировать такие записи через операции GraphQL. Обе последних уязвимости оценены в 2,7 балла.

Отдельного внимания заслуживает CVE-2025-12506 - проблема неоднозначного разрешения ссылок на теги или ветки. Аутентифицированный пользователь может создать репозиторий, в котором содержимое, отображаемое в веб-интерфейсе, отличается от того, что загружается при клонировании. Это может быть использовано для обмана разработчиков, например, для внедрения вредоносного кода, который не виден при просмотре через браузер. Уязвимость присутствует начиная с версии 16.5 и оценена в 3,5 балла.

Все перечисленные проблемы закрыты в версиях 19.1.2, 19.0.4 и 18.11.7. GitLab рекомендует как можно скорее обновить установки, особенно self-hosted инсталляции, которые не получают обновлений автоматически. Для облачных клиентов GitLab.com патчи уже применены на стороне провайдера.

Поскольку GitLab является одной из наиболее распространённых платформ для управления исходным кодом и CI/CD, каждая такая уязвимость потенциально затрагивает тысячи организаций. Особенно критичны проблемы, позволяющие выполнить произвольный код в браузере жертвы: через XSS злоумышленник может перехватить управление учётной записью с правами разработчика или администратора. В условиях, когда всё больше команд переходят на GitOps и интегрируют DevSecPipeline, компрометация одной учётной записи может привести к цепочке атак на всю инфраструктуру.

Компания традиционно благодарит внешних исследователей, участвующих в программе bug bounty на HackerOne. Это один из ключевых механизмов, позволяющих GitLab оперативно находить и исправлять уязвимости до того, как ими успеют воспользоваться злоумышленники. В текущем релизе исправлены как ошибки, найденные внешними специалистами, так и одна проблема, обнаруженная собственным сотрудником.

Администраторам GitLab следует убедиться, что их версии обновлены до указанных. Временных обходных путей для большинства уязвимостей не предусмотрено - только установка патча. При невозможности немедленного обновления стоит ограничить доступ к GitLab для недоверенных пользователей и усилить мониторинг подозрительных действий, особенно в части изменения настроек групп и зеркалирования репозиториев.

Ситуация подтверждает общую тенденцию: веб-приложения, работающие с пользовательским контентом, остаются главной целью для атак, связанных с межсайтовым скриптингом и недостаточными проверками полномочий. GitLab реагирует на это системными исправлениями, однако бремя своевременного обновления лежит на пользователях.

Ссылки

Комментарии: 0