В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость в популярной платформе для DevOps GitLab. Идентификатор уязвимости - BDU:2026-03436, также ей присвоен идентификатор CVE-2026-1090. Проблема классифицируется как высокоопасная и связана с недостаточной защитой от межсайтового скриптинга (XSS). Соответственно, злоумышленник может внедрить вредоносные сценарии в веб-страницы приложения.
Детали уязвимости
Уязвимость затрагивает широкий спектр версий GitLab. В частности, под угрозой находятся версии с 10.6 по 18.7.6, с 18.8 по 18.8.6, а также с 18.9 по 18.9.2. Эксперты отмечают, что для эксплуатации уязвимости злоумышленнику необходим учётная запись с правами на авторизацию в системе. Однако, учитывая популярность платформы в корпоративной среде, это условие не снижает общей опасности угрозы.
Основная опасность заключается в механизме эксплуатации. Уязвимость относится к классу CWE-79, что означает недостаточную нейтрализацию вводимых пользователем данных на веб-страницах. В результате атакующий, имея привилегии обычного пользователя, может внедрить специально созданный JavaScript-код. Впоследствии этот код выполняется в браузере жертвы, например, администратора, когда тот просматривает скомпрометированную страницу.
Ключевой риск заключается в эскалации этой атаки до выполнения произвольного кода на сервере. Теоретически, используя уязвимость XSS в сочетании с другими функциями GitLab, злоумышленник может получить контроль над сервером. Следовательно, под угрозу попадают не только данные репозиториев, но и вся инфраструктура, на которой развёрнута платформа. Это создаёт прямую угрозу для конфиденциальности интеллектуальной собственности и целостности процессов непрерывной интеграции и доставки (CI/CD).
Уровень опасности подтверждается высокими базовыми оценками по шкале CVSS. Для CVSS 2.0 оценка составляет 8.5 баллов, а для CVSS 3.1 - 8.7 баллов. Обе оценки соответствуют высокому уровню критичности. Вектор атаки оценивается как сетевой, с низкой сложностью эксплуатации и требующий низких привилегий. При этом воздействие на конфиденциальность и целостность данных оценивается как максимальное.
Производитель, компания GitLab Inc., оперативно отреагировал на обнаружение уязвимости. Уязвимость уже подтверждена вендором и считается устранённой. Для закрытия бреши выпущены патчи. Все пользователи затронутых версий должны немедленно обновиться до актуальных исправленных сборок. В частности, рекомендуется переход на версии 18.9.2, 18.8.6 или 18.7.6, в зависимости от используемой мажорной ветки.
Меры по устранению строго стандартны и заключаются в обновлении программного обеспечения. Компания GitLab опубликовала официальный анонс, содержащий все технические детали и ссылки для загрузки исправлений. Администраторам необходимо запланировать и провести обновление в кратчайшие сроки. Кроме того, рекомендуется усилить мониторинг подозрительной активности в своих DevSecOps-цепочках.
На текущий момент информация о наличии публичных эксплойтов, использующих эту уязвимость, уточняется. Однако, учитывая публикацию деталей, появление работающих сценариев атаки в ближайшее время весьма вероятно. Поэтому задержка с установкой обновлений может привести к серьёзным инцидентам безопасности. В частности, это может вылиться в компрометацию репозиториев, кражу токенов доступа или развёртывание шифровальщика (ransomware).
Таким образом, данная уязвимость в GitLab представляет собой классический пример высокорисковой угрозы цепочки поставок программного обеспечения. Она подчёркивает важность своевременного применения патчей даже в сложных платформах, являющихся критически важными для бизнес-процессов. Регулярное обновление остаётся самым эффективным способом защиты. В заключение, всем организациям, использующим уязвимые версии, следует отнестись к этому предупреждению с максимальной серьёзностью и принять незамедлительные меры.
Ссылки
- https://bdu.fstec.ru/vul/2026-03436
- https://www.cve.org/CVERecord?id=CVE-2026-1090
- https://about.gitlab.com/releases/2026/03/11/patch-release-gitlab-18-9-2-released/
