GitLab выпустила срочные патчи для устранения ряда критических уязвимостей в своих продуктах - Community Edition (CE) и Enterprise Edition (EE). Обновленные версии 18.8.2, 18.7.2 и 18.6.4 уже доступны для скачивания. Они закрывают опасные бреши, позволяющие злоумышленникам обходить двухфакторную аутентификацию (2FA) и проводить атаки на отказ в обслуживании (Denial-of-Service, DoS). Администраторам всех локальных (self-managed) установок настоятельно рекомендуется немедленно выполнить обновление. Облачная платформа GitLab.com уже защищена.
Детали уязвимостей
Наиболее серьезной угрозой является уязвимость, получившая идентификатор CVE-2026-0723. Это ошибка, связанная с непроверяемым возвращаемым значением в службах аутентификации. Она имеет высокий уровень опасности с оценкой 7.4 по шкале CVSS. Злоумышленник, знающий идентификатор учетных данных (credential ID) жертвы, может подделать ответ устройства и полностью обойти проверку 2FA. Данная уязвимость затрагивает версии GitLab с 18.6 по 18.8.1 включительно и представляет значительный риск для безопасности учетных записей, особенно привилегированных. Брешь была обнаружена и сообщена через программу вознаграждений за ошибки (bug bounty) на платформе HackerOne исследователем под псевдонимом ahacker1.
Помимо этого, GitLab устранила три уязвимости, приводящие к отказам в обслуживании, которые могут быть использованы даже неаутентифицированными злоумышленниками. Во-первых, это CVE-2025-13927 с оценкой CVSS 7.5. Она позволяет вызвать сбой работы экземпляра GitLab, отправив специально сформированный запрос с поврежденными данными аутентификации в интеграцию Jira Connect. Данная проблема существовала в коде начиная с версии 11.9.
Во-вторых, уязвимость CVE-2025-13928 также оценивается в 7.5 баллов. Она связана с некорректной проверкой прав доступа (authorization) в Releases API. Неаутентифицированные пользователи могут использовать эту брешь, чтобы вызвать сбои в работе сервиса. Проблема затрагивает версии начиная с 17.7.
Третья DoS-уязвимость, CVE-2026-1102, была обнаружена внутренней командой GitLab. Она имеет средний уровень опасности (CVSS 5.3) и влияет на версии, выпущенные после 12.3. Атака заключается в отправке повторяющихся некорректных запросов на аутентификацию по SSH, что может привести к состоянию отказа в обслуживании.
Также был исправлен недостаток под номером CVE-2025-13335. Он касается возможности создания бесконечного цикла (infinite loop) в редиректах Wiki. Аутентифицированный пользователь может создать специально оформленный Wiki-документ, который обходит механизм обнаружения циклов и вызывает перегрузку сервиса. Уязвимость оценена как средняя (CVSS 6.5).
GitLab подчеркивает, что все локальные установки, работающие на затронутых версиях, должны быть обновлены до последнего патча безотлагательно. При обновлении одиночных (single-node) развертываний следует ожидать периода простоя. Многоузловые (multi-node) установки могут использовать процедуры обновления без прерывания работы (zero-downtime).
Компания придерживается политики ответственного раскрытия информации. Подробные сведения об уязвимостях публикуются через 30 дней после выпуска исправлений. Этот период предоставляет организациям достаточно времени для защиты своих систем. Таким образом, окно для эксплуатации этих брешей ограничено, что делает своевременное обновление критически важным шагом для обеспечения кибербезопасности всей инфраструктуры, связанной с разработкой.
