GitLab tizimida bir nechta xavfsizlik zaifliklari aniqlandi: zararli buyruqlar orqali maxfiy ma’lumotlar o‘g‘irlanishi mumkin
GitLab kompaniyasi o‘zining Community Edition (CE) va Enterprise Edition (EE) versiyalarida aniqlangan bir nechta xavfsizlik zaifliklarini bartaraf etuvchi favqulodda xavfsizlik yangilanishlarini chiqardi. Yangi 18.5.2, 18.4.4 va 18.3.6 versiyalari bu zaifliklarni tuzatish uchun e’lon qilindi. Aniqlangan muammolar orasida eng xavflisi — GitLab Duo’ning “review” funksiyasida aniqlangan prompt injection (zararli buyruq kiritish) zaifligidir.
Prompt injection zaifligi — maxfiy ma’lumotlarga yo‘l ochuvchi xavf
Ushbu zaiflik orqali tajovuzkorlar merge request izohlariga yashirin zararli buyruqlarni joylashtirishi mumkin. Bu yashirin ko‘rsatmalar sun’iy intellekt tizimini aldab, maxfiy yoki ichki masalalarga oid ma’lumotlarni oshkor qilishga majbur qiladi. Zaiflik GitLab Enterprise Edition 17.9 va undan keyingi versiyalariga ta’sir qiladi va maxfiy loyihalar, ichki kodlar hamda foydalanuvchi ma’lumotlarini ruxsatsiz shaxslarga oshkor etish xavfini tug‘diradi.
Prompt injection muammosidan tashqari, GitLab yana to‘qqizta qo‘shimcha zaiflikni bartaraf etgan bo‘lib, ularning jiddiylik darajasi yuqoridan pastgacha o‘zgaradi. Quyidagi jadvalda asosiy zaifliklar keltirilgan:
| CVE ID | Zaiflik nomi | Turi | Jiddiylik | CVSS balli |
|---|---|---|---|---|
| CVE-2025-11224 | Kubernetes proksisida XSS xatoligi | Cross-Site Scripting (XSS) | Yuqori | 7.7 |
| CVE-2025-11865 | Ish jarayonlarida noto‘g‘ri avtorizatsiya | Authorization Bypass | O‘rta | 6.5 |
| CVE-2025-2615 | GraphQL’da ma’lumot oshkor bo‘lishi | Information Disclosure | O‘rta | 4.3 |
| CVE-2025-7000 | Kirish nazoratidagi zaiflik | Information Disclosure | O‘rta | 4.3 |
| CVE-2025-6945 | GitLab Duo’da prompt injection | Prompt Injection | Past | 3.5 |
| CVE-2025-6171 | Packages API’da ma’lumot sızıntısı | Information Disclosure | Past | 3.1 |
| CVE-2025-11990 | Filial nomlarida yo‘lga kirish zaifligi | Path Traversal | Past | 3.1 |
| CVE-2025-7736 | GitLab Pages’da ruxsat nazorati xatosi | Access Control | Past | 3.1 |
| CVE-2025-12983 | Markdown’da xizmat rad etish zaifligi | Denial of Service | Past | 3.1 |
Xavfli yo‘nalishlar va ta’siri
Eng xavfli zaifliklardan biri — Kubernetes proxy dagi XSS xatoligi bo‘lib, autentifikatsiyadan o‘tgan foydalanuvchilarga zararli skriptlarni ishga tushirish imkonini beradi. Bu muammo 15.10 versiyasidan boshlab mavjud.
Bundan tashqari, avtorizatsiya cheklovlarini aylanib o‘tish imkonini beruvchi zaiflik tufayli foydalanuvchilar boshqa shaxslarga tegishli AI ish jarayonlarini (workflows) o‘chira oladi. Bu holat GitLab tizimining yaxlitligi va ishonchliligiga zarar yetkazadi.
Shuningdek, ma’lumot oshkor bo‘lishi bilan bog‘liq zaifliklar orqali tajovuzkorlar turli yo‘llar bilan maxfiy ma’lumotlarga kirishlari mumkin:
- GraphQL subscriptions orqali bloklangan foydalanuvchilar tarmoqqa ulanib olishi;
- Access control mexanizmidagi nuqson sababli ruxsatsiz filial (branch) nomlarini ko‘rish;
- Packages API orqali ma’lumotlar oqishini kuzatish, hatto repozitoriy yopiq bo‘lsa ham.
Bundan tashqari, GitLab Pages moduli orqali OAuth autentifikatsiyasini aylanib o‘tish, hamda maxsus Markdown fayllari yordamida Denial-of-Service (DoS) hujumlarini amalga oshirish holatlari ham aniqlangan.
Himoyalanish choralarini ko‘rish zarur
GitLab kompaniyasi barcha foydalanuvchilarga darhol yangilanish o‘rnatishni qat’iy tavsiya qilmoqda. Yangilanishlar allaqachon GitLab.com serverlarida tatbiq etilgan, GitLab Dedicated foydalanuvchilari esa qo‘shimcha harakat qilishi shart emas. Ammo o‘z-o‘zini boshqaruvchi (self-managed) tashkilotlar imkon qadar tez fursatda tizimlarini yangilashlari lozim.
Yangilanish jarayonida ba’zi texnik jihatlar e’tiborga olinishi kerak:
- Yagona (single-node) instansiyalarda yangilanish vaqtida qisqa muddatli tizim to‘xtashi (downtime) kuzatiladi;
- Ko‘p tugunli (multi-node) infratuzilmalarda esa nol-downtime yangilanish rejimi tavsiya etiladi;
- Yangilanish tarkibida bazalar migratsiyasi mavjud bo‘lib, bu ayrim tizim sozlamalariga ta’sir ko‘rsatishi mumkin.
GitLab’dagi so‘nggi zaifliklar foydalanuvchi ma’lumotlari, loyihalar maxfiyligi va korporativ kod bazalariga jiddiy tahdid tug‘dirmoqda. Ayniqsa, AI asosidagi GitLab Duo funksiyalarida aniqlangan prompt injection zaifligi orqali maxfiy ma’lumotlarning oshkor bo‘lishi xavfi yuqori.
GitLab 18.5.2, 18.4.4 va 18.3.6 versiyalariga yangilanish bu muammolarning barchasini bartaraf etadi. Shuning uchun tashkilotlar va ishlab chiquvchilar tizimlarini darhol yangilab, o‘z ma’lumotlar xavfsizligini ta’minlashlari zarur.
GitLab tadqiqotchilari ushbu zaifliklarning aksariyatini HackerOne bug bounty dasturi orqali aniqlagan bo‘lib, kompaniya har bir yamadan 30 kun o‘tib batafsil texnik ma’lumotlarni ommaga taqdim etishini ma’lum qilgan.
