Το GitLab κυκλοφόρησε επείγουσες ενημερώσεις κώδικα ασφαλείας που αντιμετωπίζουν πολλαπλές ευπάθειες που επηρεάζουν τόσο την Community Edition όσο και την Enterprise Edition.
Η εταιρεία κυκλοφόρησε τις εκδόσεις 18.5.2, 18.4.4 και 18.3.6 για να διορθώσει κρίσιμα ζητήματα ασφάλειας που θα μπορούσαν να επιτρέψουν στους εισβολείς να υπονομεύσουν ευαίσθητες πληροφορίες και να παρακάμψουν τους ελέγχους πρόσβασης.
Η πιο ανησυχητική ευπάθεια περιλαμβάνει επιθέσεις άμεσης έγχυσης στη δυνατότητα αναθεώρησης του GitLab Duo. Οι εισβολείς μπορούν να εισάγουν κρυφά κακόβουλα μηνύματα απευθείας στα σχόλια αιτημάτων συγχώνευσης.
Αυτές οι κρυφές οδηγίες ξεγελούν το σύστημα AI ώστε να διαρρεύσει ευαίσθητες πληροφορίες από εμπιστευτικά ζητήματα. Αυτή η ευπάθεια επηρεάζει τις εκδόσεις 17.9 και νεότερες εκδόσεις GitLab Enterprise Edition, εκθέτοντας δυνητικά ταξινομημένα δεδομένα έργου σε μη εξουσιοδοτημένους χρήστες.
Πέρα από την άμεση έγχυση, το GitLab επιδιορθώνει εννέα επιπλέον ευπάθειες που κυμαίνονται από υψηλή έως χαμηλή σοβαρότητα.
| CVE ID | Τίτλος ευπάθειας | Τύπος | Αυστηρότητα | Βαθμολογία CVSS |
|---|---|---|---|---|
| CVE-2025-11224 | Πρόβλημα δέσμης ενεργειών μεταξύ τοποθεσιών σε διακομιστή μεσολάβησης k8s | XSS | Ψηλά | 7.7 |
| CVE-2025-11865 | Λανθασμένο ζήτημα εξουσιοδότησης στις ροές εργασιών | Παράκαμψη εξουσιοδότησης | Μέσον | 6.5 |
| CVE-2025-2615 | Πρόβλημα αποκάλυψης πληροφοριών στις συνδρομές GraphQL | Αποκάλυψη πληροφοριών | Μέσον | 4.3 |
| CVE-2025-7000 | Πρόβλημα αποκάλυψης πληροφοριών στον έλεγχο πρόσβασης | Αποκάλυψη πληροφοριών | Μέσον | 4.3 |
| CVE-2025-6945 | Πρόβλημα άμεσης έγχυσης στην ανασκόπηση του GitLab Duo | Άμεση έγχυση | Χαμηλός | 3.5 |
| CVE-2025-6171 | Πρόβλημα αποκάλυψης πληροφοριών στο τελικό σημείο API πακέτων | Αποκάλυψη πληροφοριών | Χαμηλός | 3.1 |
| CVE-2025-11990 | Πρόβλημα διέλευσης διαδρομής από την πλευρά του πελάτη σε ονόματα υποκαταστημάτων | Διαδρομή μονοπατιού | Χαμηλός | 3.1 |
| CVE-2025-7736 | Πρόβλημα εσφαλμένου ελέγχου πρόσβασης στις Σελίδες GitLab | Έλεγχος πρόσβασης | Χαμηλός | 3.1 |
| CVE-2025-12983 | Πρόβλημα άρνησης υπηρεσίας σε σήμανση | Άρνηση παροχής υπηρεσιών | Χαμηλός | 3.1 |
Μια ευπάθεια cross-site scripting (XSS) στον διακομιστή μεσολάβησης Kubernetes επιτρέπει στους επαληθευμένους χρήστες να εκτελούν κακόβουλα σενάρια, επηρεάζοντας τις εκδόσεις 15.10 και νεότερες εκδόσεις.
Μια παράκαμψη εξουσιοδότησης στις ροές εργασίας επιτρέπει στους χρήστες να αφαιρούν ροές τεχνητής νοημοσύνης που ανήκουν σε άλλους χρήστες, θέτοντας σε κίνδυνο την ακεραιότητα της ροής εργασίας. Τα τρωτά σημεία αποκάλυψης πληροφοριών ενέχουν επίσης σοβαρούς κινδύνους.
Οι εισβολείς μπορούν να έχουν πρόσβαση σε ευαίσθητα δεδομένα μέσω πολλών διανυσμάτων: αποκλεισμένοι χρήστες που δημιουργούν συνδρομές GraphQL, μη εξουσιοδοτημένη προβολή ονομάτων υποκαταστημάτων μέσω αδυναμιών ελέγχου πρόσβασης και διαρροή πληροφοριών μέσω του τερματικού σημείου του API πακέτων, ακόμη και όταν η πρόσβαση στο χώρο αποθήκευσης είναι απενεργοποιημένη.
Πρόσθετα τρωτά σημεία περιλαμβάνουν ζητήματα διέλευσης μονοπατιών που επηρεάζουν τα ονόματα των υποκαταστημάτων, ακατάλληλο έλεγχο πρόσβασης στις Σελίδες GitLab που επιτρέπει παρακάμψεις ελέγχου ταυτότητας OAuth και επιθέσεις άρνησης υπηρεσίας μέσω ειδικά διαμορφωμένου περιεχομένου Markdown.
Το GitLab έντονα συνιστά αναβάθμιση στις επιδιορθωμένες εκδόσεις αμέσως. Η εταιρεία έχει ήδη ενημερώσει το GitLab.com και οι αποκλειστικοί πελάτες του GitLab δεν απαιτούν καμία ενέργεια.
Οι αυτοδιαχειριζόμενες εγκαταστάσεις πρέπει να δίνουν προτεραιότητα στις άμεσες αναβαθμίσεις, καθώς αυτές οι ευπάθειες επηρεάζουν άμεσα την ασφάλεια των δεδομένων των πελατών. Οι ενημερώσεις κώδικα περιλαμβάνουν μετεγκαταστάσεις βάσης δεδομένων που ενδέχεται να επηρεάσουν τις διαδικασίες αναβάθμισης.
Οι παρουσίες ενός κόμβου θα αντιμετωπίσουν χρόνο διακοπής λειτουργίας κατά τη διάρκεια των ενημερώσεων, ενώ οι εγκαταστάσεις πολλαπλών κόμβων μπορούν να υλοποιήσουν αναβαθμίσεις μηδενικού χρόνου διακοπής χρησιμοποιώντας κατάλληλες διαδικασίες.
Οι ερευνητές του GitLab ανακάλυψαν τα περισσότερα τρωτά σημεία μέσω του προγράμματος επιβράβευσης σφαλμάτων HackerOne. Η εταιρεία δεσμεύεται να δημοσιεύει τις λεπτομέρειες ασφαλείας 30 ημέρες μετά από κάθε ενημέρωση κώδικα στο πρόγραμμα παρακολούθησης δημόσιων θεμάτων.
Όλοι οι επηρεαζόμενοι οργανισμοί θα πρέπει να επανεξετάσουν τις τρέχουσες εκδόσεις GitLab και να αναπτύξουν ενημερώσεις κώδικα χωρίς καθυστέρηση για να προστατευτούν από αυτές τις κλιμακούμενες απειλές ασφαλείας.
