Компания GitLab выпустила экстренные обновления безопасности, устраняющие ряд критических уязвимостей в своих платформах. Уязвимости затрагивают самоуправляемые инстанции и могут привести к выполнению произвольного кода, обходу авторизации и отказам в обслуживании. Администраторам всех развертываний, кроме GitLab.com, где обновления уже применены, настоятельно рекомендуется немедленно установить патчи.
Обзор обновлений безопасности
GitLab регулярно выпускает исправления безопасности дважды в месяц. Недавно вышли версии 18.7.1, 18.6.3 и 18.5.5, которые закрывают уязвимости в ключевых компонентах системы. В частности, проблемы были обнаружены в механизме GitLab Flavored Markdown, веб-интегрированной среде разработки (Web IDE), Duo Workflows, конечных точках AI GraphQL, функции импорта и управлении раннерами (runner). Эти обновления касаются всех типов развертываний: пакетов Omnibus, установок из исходного кода, Helm-чартов и других.
Детализация ключевых уязвимостей
Среди исправленных проблем наибольшую опасность представляют две уязвимости межсайтового скриптинга (Cross-Site Scripting, XSS). Первая, CVE-2025-9222 с оценкой CVSS 8.7, является хранимой XSS. Она позволяет злоумышленнику внедрить вредоносный JavaScript через специально сформированные плейсхолдеры в Markdown. В результате скрипт выполняется в браузере жертвы при просмотре контента. Вторая, CVE-2025-13761 (CVSS 8.0), это отраженная XSS. Она дает возможность неаутентифицированному атакующему выполнить код в браузере авторизованного пользователя через специально созданную веб-страницу.
Еще одна группа проблем связана с недостатками контроля доступа в функциях искусственного интеллекта. Уязвимости CVE-2025-13772 (CVSS 7.1) и CVE-2025-13781 (CVSS 6.5) представляют собой пропущенные проверки авторизации. Они позволяют пользователям с низкими привилегиями получать доступ к настройкам AI-моделей из непредназначенных для них пространств имен (namespace) и даже изменять провайдерские настройки искусственного интеллекта на уровне всего инстанса. Это создает угрозу целостности и конфиденциальности конфигурации.
Отдельного внимания заслуживает уязвимость CVE-2025-10569 (CVSS 6.5), приводящая к отказу в обслуживании (Denial of Service, DoS). Аутентифицированный пользователь может вызвать его, отправив специально сформированные ответы на вызовы внешнего API в функциональности импорта. Кроме того, проблема CVE-2025-11246 (CVSS 5.4) заключается в недостаточной детализации контроля доступа. Она позволяет пользователям удалять раннеры проектов из несвязанных с ними проектов через GraphQL API. Информационная утечка (CVE-2025-3950, CVSS 3.5) может происходить при обработке специально созданных изображений, которые обходят прокси-сервер активов, раскрывая детали подключения.
Риски и рекомендации
Совокупность этих уязвимостей ставит под угрозу целостность данных проектов, конфиденциальность настроек и доступность служб GitLab в уязвимых версиях. Компания настоятельно рекомендует всем администраторам как можно скорее обновиться до последней патч-версии в своей ветке: 18.7.1, 18.6.3 или 18.5.5.
При обновлении одноузловых инстансов следует ожидать простоя из-за миграций базы данных. Для многозвенных сред GitLab предлагает процедуры с нулевым временем простоя (zero-downtime procedures), которые позволяют избежать прерывания обслуживания. Эксперты также советуют администраторам пересмотреть лучшие практики по защите инстансов. Ключевыми шагами являются своевременная установка патчей, усиление контроля внешнего доступа и мониторинг необычной активности в функционале, затронутом закрытыми уязвимостями. Своевременное обновление остается самым эффективным способом защитить среду разработки от потенциальных атак.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-9222
- https://www.cve.org/CVERecord?id=CVE-2025-13761
- https://www.cve.org/CVERecord?id=CVE-2025-13772
- https://www.cve.org/CVERecord?id=CVE-2025-13781
- https://www.cve.org/CVERecord?id=CVE-2025-11246
- https://www.cve.org/CVERecord?id=CVE-2025-10569
- https://www.cve.org/CVERecord?id=CVE-2025-3950
- https://about.gitlab.com/releases/2026/01/07/patch-release-gitlab-18-7-1-released/
- https://gitlab.com/gitlab-org/gitlab/-/issues/562561
- https://gitlab.com/gitlab-org/gitlab/-/issues/582237
- https://gitlab.com/gitlab-org/gitlab/-/issues/581268
- https://gitlab.com/gitlab-org/gitlab/-/issues/578756
- https://gitlab.com/gitlab-org/gitlab/-/issues/573728
- https://gitlab.com/gitlab-org/gitlab/-/issues/537697
