Το GitLab κυκλοφόρησε ενημερώσεις κώδικα ασφαλείας έκτακτης ανάγκης για πολλαπλές εκδόσεις της πλατφόρμας του, αντιμετωπίζοντας οκτώ ευπάθειες που θα μπορούσαν να επιτρέψουν την αυθαίρετη εκτέλεση κώδικα και τη μη εξουσιοδοτημένη πρόσβαση σε αυτοδιαχειριζόμενες εγκαταστάσεις.
Οι ενημερωμένες εκδόσεις 18.7.1, 18.6.3 και 18.5.5 αναπτύχθηκαν στο GitLab.com στις 7 Ιανουαρίου 2026, με τους αυτοφιλοξενούμενους πελάτες να συμβουλεύονται έντονα να αναβαθμίσουν αμέσως.
Η πιο σοβαρή ευπάθεια, το CVE-2025-9222, επηρεάζει το GitLab Community and Enterprise Editions και έχει βαθμολογία CVSS 8,7.
Αυτό το αποθηκευμένο ελάττωμα δέσμης ενεργειών μεταξύ τοποθεσιών (XSS) στα σύμβολα θέσης GitLab Flavored Markdown θα μπορούσε να επιτρέψει στους επιβεβαιωμένους εισβολείς να εκτελούν κακόβουλο κώδικα στα προγράμματα περιήγησης των θυμάτων.
Οι επηρεαζόμενες εκδόσεις εκτείνονται από την 18.2.2 έως την 18.7.0, επηρεάζοντας ένα ευρύ φάσμα αναπτύξεων. Ένα δεύτερο ζήτημα υψηλής σοβαρότητας, το CVE-2025-13761, επηρεάζει το στοιχείο Web IDE και έχει βαθμολογία CVSS 8,0.
Αυτό το ελάττωμα επιτρέπει στους εισβολείς να εκτελούν κακόβουλο κώδικα παρασύροντας συνδεδεμένους χρήστες σε κακόβουλο ιστοσελίδες, οι οποίες μπορούν να παραβιάσουν συνεδρίες και να οδηγήσουν σε μη εξουσιοδοτημένη πρόσβαση σε αποθετήρια.
Οι πελάτες Enterprise Edition αντιμετωπίζουν πρόσθετους κινδύνους από το CVE-2025-13772, ένα σφάλμα εξουσιοδότησης που λείπει στο Duo Workflows API που επιτρέπει στους επαληθευμένους χρήστες να πρόσβαση στο AI ρυθμίσεις μοντέλου από μη εξουσιοδοτημένους χώρους ονομάτων.
Ανακαλύφθηκε εσωτερικά από τον μηχανικό του GitLab, Jessie Young, αυτό το ελάττωμα έχει βαθμολογία CVSS 7,1.
Πρόσθετα τρωτά σημεία και αντίκτυπος
Η ενημερωμένη έκδοση ασφαλείας αντιμετωπίζει επίσης ζητήματα μέσης σοβαρότητας, συμπεριλαμβανομένων των ευπαθειών άρνησης υπηρεσίας στη λειτουργικότητα εισαγωγής (CVE-2025-10569).
Ανεπαρκή στοιχεία ελέγχου πρόσβασης σε μεταλλάξεις GraphQL που θα μπορούσαν να επιτρέψουν μη εξουσιοδοτημένες τροποποιήσεις δρομέων (CVE-2025-11246).
Ένα σφάλμα αποκάλυψης πληροφοριών χαμηλής σοβαρότητας στην απόδοση του διαγράμματος Mermaid (CVE-2025-3950) ολοκληρώνει το σύνολο ενημερώσεων κώδικα.
Η ομάδα ασφαλείας του GitLab τονίζει ότι όλοι οι τύποι ανάπτυξης, τα πακέτα Omnibus, οι εγκαταστάσεις πηγαίου κώδικα και τα γραφήματα Helm απαιτούν άμεση ενημέρωση.
Οι παρουσίες ενός κόμβου θα αντιμετωπίσουν χρόνο διακοπής λειτουργίας κατά τη διάρκεια των αναβαθμίσεων λόγω υποχρεωτικών μετεγκαταστάσεων της βάσης δεδομένων. Ταυτόχρονα, οι αναπτύξεις πολλών κόμβων μπορούν να επιτύχουν ενημερώσεις μηδενικού χρόνου διακοπής λειτουργίας ακολουθώντας τις κατάλληλες διαδικασίες.
Αναφέρθηκαν τα τρωτά σημεία μέσω του προγράμματος επιβράβευσης σφαλμάτων HackerOne του GitLab, με τον ερευνητή yvvdwf να πιστώνεται ανακαλύπτοντας το κρίσιμο ελάττωμα XSS.
Το GitLab διατηρεί μια πολιτική αποκάλυψης 30 ημερών, σύμφωνα με την οποία οι λεπτομερείς αναφορές ζητημάτων δημοσιοποιούνται στον ιχνηλάτη του μετά την έκδοση εμπλάστρου.
Οι αυτοδιαχειριζόμενοι διαχειριστές του GitLab θα πρέπει να συμβουλεύονται την επίσημη τεκμηρίωση ενημέρωσης και να εγγραφούν στην τροφοδοσία RSS έκδοσης ασφαλείας του GitLab για μελλοντικές ειδοποιήσεις ενημερώσεων κώδικα.
