GitLab публикува важни поправки за уязвимости

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

GitLab пусна нови версии на своята платформа DevSecOps с цел да адресира множество сериозни уязвимости, включително такива, които могат да доведат до завземане на потребителски акаунти и инжектиране на злонамерени CI/CD задачи в бъдещи програмни конвейери.

Обновленията са достъпни в следните версии:

  • GitLab Community Edition (CE) и Enterprise Edition (EE): 18.0.2,

  • 17.11.4,

  • и 17.10.8.

Компанията призовава всички администратори на self-managed инсталации да приложат актуализациите незабавно. Платформата GitLab.com вече използва защитената версия, а клиентите на GitLab Dedicated не е необходимо да предприемат действия.

Основни уязвимости, адресирани с обновленията

🔹 CVE-2025-4278 – HTML инжекция и превземане на акаунти

Първата от сериозните уязвимости е свързана с възможността за HTML инжекция в страницата за търсене. При успешна експлоатация, отдалечени нападатели могат да внедрят зловреден код, който да се изпълнява в браузъра на жертвата и да доведе до завземане на потребителски сесии и достъп до акаунти.

🔹 CVE-2025-5121 – Инжектиране на CI/CD задачи без разрешение

Втората уязвимост, засягаща GitLab Ultimate EE, се дължи на липса на адекватен контрол на достъпа. Тя позволява на автентикирани, но неупълномощени потребители да внедряват зловредни CI/CD задачи, които могат да бъдат изпълнени автоматично при бъдещи деплойменти в произволни проекти. Това създава сериозен риск за компрометиране на софтуерния процес на организацията.

Забележка: Уязвимостта изисква потребителят да има достъп до инстанция с активен GitLab Ultimate лиценз.

🔹 Други критични уязвимости:

  • CVE-2025-2254 – уязвимост от тип XSS (Cross-site scripting), която може да позволи на нападател да действа от името на легитимен потребител;

  • CVE-2025-0673отказ от услуга (DoS) чрез предизвикване на безкрайни пренасочвания, което води до изчерпване на системната памет и недостъпност на услугата за реални потребители.

GitLab остава приоритетна цел за кибератаки

GitLab е предпочитана мишена от киберпрестъпници, тъй като хоства чувствителна информация, включително изходен код, достъпни токени и конфигурационни файлове. През 2025 г. бяха регистрирани пробиви в GitLab хранилищата на Europcar Mobility Group и Pearson, доказващи реалните рискове.

Към момента, GitLab има над 30 милиона регистрирани потребители, а над 50% от компаниите в класацията Fortune 100 използват платформата, сред които: Goldman Sachs, Airbus, T-Mobile, Lockheed Martin, Nvidia и UBS.

#поправки
По материали от Интернет

Подобни

Изследовател публикува експлойти за нови 0-day уязвимости в Windows и BitLocker
15.05.2026
winbug
Нова Linux zero-day уязвимост дава root достъп
15.05.2026
linux
Pwn2Own Berlin 2026 започна с 24 zero-day уязвимости
15.05.2026
Pwn2Own
Над 1,1 милиона семейства в риск: критични уязвимости в бебефони
14.05.2026
parents_children
Microsoft пусна Windows 10 KB5087544 с Patch Tuesday
13.05.2026
windows-10-1535765_1280
Microsoft пусна May 2026 Patch Tuesday обновления за Windows 11
13.05.2026
Windows_11_blur

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy