Команда разработчиков GitLab выпустила масштабный пакет обновлений безопасности, устраняющий десять уязвимостей в популярной платформе DevOps. Согласно официальному бюллетеню от 10 декабря 2025 года, обнаруженные проблемы затрагивают как Community Edition (CE), так и Enterprise Edition (EE) и могут привести к утечке конфиденциальной информации, обходу двухфакторной аутентификации и удалённым атакам типа «отказ в обслуживании» (Denial of Service, DoS). Все исправления уже включены в версии 18.4.6, 18.5.4 и 18.6.2.
Детали уязвимости
Затронутыми являются все релизы, начиная с версий 18.4.x до 18.4.6, 18.5.x до 18.5.4 и 18.6.x до 18.6.2. Более того, некоторые из ошибок имеют глубокую историю, уходя корнями в версии 6.3 или 11.10. Следовательно, под угрозой оказывается значительное количество развёртываний. Эксперты настоятельно рекомендуют администраторам как можно скорее обновить свои инстансы GitLab.
Среди исправленных уязвимостей выделяются несколько критических. Например, CVE-2025-12029 с оценкой CVSS 8.0 (высокий уровень) представляет собой уязвимость межсайтового скриптинга (Cross-Site Scripting, XSS) в Swagger UI. Неаутентифицированный злоумышленник мог внедрить вредоносные внешние скрипты, что потенциально позволяло выполнять действия от имени других пользователей. Данная атака требовала определённых условий и взаимодействия с пользователем, но её последствия могли быть серьёзными.
Ещё одна опасная проблема, CVE-2025-12716, также получила высокий балл 8.7. Она позволяла авторизованному пользователю создавать вики-страницы со злонамеренным (malicious) содержимым для выполнения несанкционированных действий от имени других лиц. Уязвимость классифицируется как кросс-сайтовая сценаринговая атака с хранением (Stored XSS) и затрагивает механизм вики. Успешная эксплуатация могла привести к полной компрометации учётных записей.
Отдельного внимания заслуживает CVE-2025-11984, связанная с обходом двухфакторной аутентификации WebAuthn. Авторизованный пользователь мог манипулировать состоянием сессии при определённых условиях, чтобы избежать этого дополнительного уровня проверки. Хотя сложность эксплуатации оценивается как высокая, сам факт возможности обхода 2FA подрывает фундаментальный принцип безопасности. Это создаёт прямую угрозу для учетных записей с повышенными привилегиями.
Помимо этого, в пакете исправлены несколько уязвимостей, ведущих к раскрытию информации. CVE-2025-11247 и CVE-2025-13978 позволяли авторизованным пользователям получать доступ к конфиденциальным данным из приватных проектов. В первом случае для этого использовались специально сформированные запросы GraphQL, а во втором - анализ ответов API. Подобные утечки нарушают целостность модели разграничения доступа в GitLab.
Значительную часть пакета составляют уязвимости, приводящие к отказу в обслуживании. CVE-2025-12562 позволяла неаутентифицированному злоумышленнику отправлять сложные запросы GraphQL, обходя ограничения на сложность запросов и вызывая перегрузку сервера. Аналогично, CVE-2025-14157 и CVE-2025-4097 давали возможность авторизованным пользователям вызывать DoS-условия через отправку специально созданных вызовов API с большими параметрами или загрузку crafted-изображений.
Выпуск такого объёмного патч-релиза подчёркивает сложность современных DevOps-платформ, где пересекаются множество компонентов и функций. Каждый из них, от GraphQL API до интерфейса Swagger UI и системы вики, потенциально может стать вектором атаки. Регулярное обновление является ключевой мерой защиты. Для организаций, использующих уязвимые версии, промедление с установкой патчей создаёт неоправданные риски для безопасности исходного кода и CI/CD-процессов.
Таким образом, текущий цикл обновлений GitLab критически важен для поддержания безопасности всей цепочки разработки. Устранённые уязвимости охватывают широкий спектр угроз: от раскрытия данных до полного отказа сервиса. Администраторам следует немедленно проверить версии своих развёртываний и применить исправления в соответствии с официальными рекомендациями. В противном случае инфраструктура может стать лёгкой мишенью для злоумышленников, эксплуатирующих известные проблемы.
Ссылки
- https://about.gitlab.com/releases/2025/12/10/patch-release-gitlab-18-6-2-released/
- https://www.cve.org/CVERecord?id=CVE-2025-8405
- https://www.cve.org/CVERecord?id=CVE-2025-4097
- https://www.cve.org/CVERecord?id=CVE-2025-14157
- https://www.cve.org/CVERecord?id=CVE-2025-13978
- https://www.cve.org/CVERecord?id=CVE-2025-12734
- https://www.cve.org/CVERecord?id=CVE-2025-12716
- https://www.cve.org/CVERecord?id=CVE-2025-12562
- https://www.cve.org/CVERecord?id=CVE-2025-12029
- https://www.cve.org/CVERecord?id=CVE-2025-11984
- https://www.cve.org/CVERecord?id=CVE-2025-11247
