В начале января 2026 года была обнаружена и подтверждена критическая уязвимость в популярной платформе для совместной разработки GitLab. Проблема, получившая идентификаторы BDU:2026-01953 и CVE-2025-13761, затрагивает корпоративную и сообщественную (CE) редакции программного обеспечения. Уязвимость связана с недостаточной защитой структуры веб-страницы, что технически классифицируется как CWE-79. Данная ошибка позволяет злоумышленнику, действующему удаленно, проводить успешные межсайтовые сценарные атаки, известные как XSS (Cross-Site Scripting).
Детали уязвимости
Под угрозой находятся версии GitLab начиная с 18.6 и до 18.6.3, а также с 18.7 до 18.7.1. Производитель, GitLab Inc., уже выпустил необходимые патчи. Эксперты по кибербезопасности присвоили уязвимости наивысший уровень опасности. Базовый балл по шкале CVSS 2.0 составил максимальные 10.0, а по более современной CVSS 3.1 - 9.6. Такие оценки указывают на чрезвычайно высокий потенциальный ущерб.
Межсайтовый скриптинг (XSS) является одной из наиболее распространенных и опасных атак на веб-приложения. В случае с GitLab успешная эксплуатация уязвимости позволяет злоумышленнику внедрить произвольный вредоносный JavaScript-код в доверенную страницу платформы. Когда жертва, например, рядовой разработчик или администратор, открывает эту страницу, внедренный сценарий выполняется в контексте ее сессии. Следовательно, злоумышленник может получить несанкционированный доступ к сессии, похитить файлы cookies, токены аутентификации или даже изменить содержимое страницы для фишинга.
Более того, в контексте такой платформы, как GitLab, последствия могут быть катастрофическими. Теоретически, атакующий может скомпрометировать учетные данные, получить доступ к критически важному исходному коду, внедрить бэкдоры в репозитории или украсть интеллектуальную собственность. Учитывая, что GitLab часто развертывается внутри корпоративных сетей, эта уязвимость может стать отправной точкой для более глубокого вторжения. Например, она может быть использована для установки постоянного доступа (persistence) или для доставки дополнительного вредоносного кода (payload).
Важно отметить, что для проведения атаки не требуются специальные привилегии в системе (PR:N в CVSS 3.1), а взаимодействие с пользователем (UI:R) является стандартным сценарием, например, переход по ссылке. Высокий балл по компоненту "Scope" (S:C) означает, что атака может повлиять на компоненты за пределами самого уязвимого модуля. Производитель оперативно отреагировал на угрозу. Все пользователи затронутых версий должны немедленно обновиться до GitLab 18.7.1 или более поздней версии. Соответствующий патч уже включен в эти выпуски.
Актуальные рекомендации и детали исправления опубликованы в официальном блоге GitLab. Специалисты также советуют не ограничиваться простым обновлением. Необходимо проводить регулярный аудит безопасности веб-приложений, внедрять политики Content Security Policy (CSP) и обучать разработчиков безопасным методам кодирования. Эти меры помогают предотвращать подобные уязвимости на этапе создания продукта.
На текущий момент информация о наличии активных эксплойтов уточняется. Однако, учитывая критичность уязвимости и широкую распространенность GitLab, можно ожидать, что злоумышленники попытаются быстро разработать средства для эксплуатации. Особенную осторожность следует проявлять организациям, которые используют GitLab для проектов с закрытым исходным кодом или в регулируемых отраслях. Своевременное применение патчей остается самым эффективным способом защиты.
Таким образом, данная ситуация служит очередным напоминанием о важности своевременного управления обновлениями даже для сложных платформ уровня предприятия. Кибербезопасность цепочки поставок программного обеспечения (software supply chain) напрямую зависит от оперативности реагирования на такие критические инциденты. Командам DevOps и специалистам по информационной безопасности (SOC) необходимо постоянно мониторить источники, такие как базы данных уязвимостей, и иметь четкий план действий по аварийному обновлению критически важных сервисов.
Ссылки
- https://bdu.fstec.ru/vul/2026-01953
- https://www.cve.org/CVERecord?id=CVE-2025-13761
- https://about.gitlab.com/releases/2026/01/07/patch-release-gitlab-18-7-1-released/
- https://gitlab.com/gitlab-org/gitlab/-/issues/582237
- https://hackerone.com/reports/3441368
