GitLab выпустила экстренные обновления безопасности, устраняющие девять уязвимостей в Community Edition (CE) и Enterprise Edition (EE). Наиболее тревожной стала проблема инъекции промптов в AI-ассистенте GitLab Duo, способная привести к утечке конфиденциальной информации. Корпорация настоятельно рекомендует всем владельцам self-managed инсталляций немедленно обновиться до версий 18.5.2, 18.4.4 или 18.3.6.
Детали уязвимостей
Центральное место в обновлении занимает CVE-2025-6945 - уязвимость инъекции промптов в функции ревью GitLab Duo. Аутентифицированные пользователи могут внедрять скрытые команды в комментарии к merge request, извлекая чувствительные данные из конфиденциальных issue. Хотя CVSS оценивает риск всего в 3.5 балла, эта атака демонстрирует, как AI-функции превращаются в угрозы безопасности при недостаточной валидации входных данных.
В пакете исправлений присутствует высокоуровневая уязвимость межсайтового скриптинга CVE-2025-11224 в функциональности Kubernetes proxy. Проблема оценивается в 7.7 баллов CVSS и позволяет аутентифицированным пользователям выполнять хранимый XSS-атаки из-за некорректной проверки входных данных. Важно отметить, что уязвимость затрагивает версии GitLab начиная с 15.10, создавая значительное окно экспозиции для организаций с устаревшими инсталляциями.
Две среднеуровневые проблемы раскрытия информации также требуют внимания. CVE-2025-2615 позволяет заблокированным пользователям получать доступ к конфиденциальной информации через GraphQL WebSocket подписки. Параллельно CVE-2025-7000 дает неавторизованным пользователям возможность просматривать названия защищенных веток через project issues со связанными merge request. Эти недостатки подчеркивают пробелы в механизмах контроля доступа GitLab.
Пользователям Enterprise Edition следует обратить особое внимание на CVE-2025-11865. Данная среднеуровневая уязвимость обхода авторизации позволяет пользователям удалять Duo workflows других участников. Проблема демонстрирует необходимость усиления проверки разрешений в системах управления рабочими процессами.
Шесть оставшихся уязвимостей имеют низкие рейтинги серьезности, но все равно заслуживают рассмотрения. CVE-2025-6171 предоставляет аутентифицированным репортерам возможность просматривать названия защищенных веток и детали pipeline через эндпоинт API пакетов. CVE-2025-7736 позволяет пользователям обходить контроль и получать контент GitLab Pages через аутентификацию OAuth провайдеров.
CVE-2025-11990 представляет риск клиентского обхода путей через уязвимости в обработке репозиториев и перенаправлений. Между тем CVE-2025-12983 может вызывать условия отказа в обслуживании через специально сформированный Markdown с вложенными паттернами форматирования.
GitLab рекомендует немедленные действия для всех затронутых инсталляций. Пользователи GitLab.com уже работают на патченных версиях, а клиентам Dedicated не требуется предпринимать каких-либо действий. Большинство уязвимостей были обнаружены исследователями безопасности, участвующими в программе вознаграждений HackerOne, что демонстрирует ценность скоординированного раскрытия информации.
Дополнительно компания обновила libxslt до версии 1.1.43, устранив дополнительные проблемы безопасности, включая CVE-2024-55549 и CVE-2025-24855. Эксперты по кибербезопасности отмечают, что подобные комплексные обновления подчеркивают важность своевременного применения патчей в современных DevOps-средах. Следовательно, организации должны приоритизировать процессы управления уязвимостями для защиты своих цепочек поставок программного обеспечения.
В настоящее время не зафиксировано активных эксплуатаций данных уязвимостей в дикой природе. Однако учитывая широкое распространение GitLab в корпоративных средах, задержка с установкой обновлений может создать значительные риски для конфиденциальности и целостности данных. Регулярное обновление систем остается фундаментальной практикой кибергигиены в условиях растущей сложности современных платформ разработки.
