Skip to content

GitLab’da aniqlangan zaifliklar xavfsizlik devorlarini chetlab o‘tish va zararli kod ishga tushirish imkonini beradi

GitLab platformasida bir nechta yuqori xavfli zaifliklar aniqlandi. Xususan, ikkita kritik darajadagi Cross-Site Scripting (XSS) zaifligi hujumchilarga xavfsizlik himoyalaridan o‘tib, foydalanuvchi brauzerida zararli skriptlarni bajarishga imkon yaratadi.

CVE-2025-0475 (CVSS 8.7) va CVE-2025-0555 (CVSS 7.7) deb nomlangan bu zaifliklar GitLab’ning o‘z-o‘zini boshqaruvchi (self-managed) versiyalariga ta’sir qiladi. Ushbu zaifliklardan foydalanish orqali hujumchilar seanslarni o‘g‘irlash, parollarni qo‘lga kiritish va tizimga noqonuniy kirish kabi tahdidlarni amalga oshirishlari mumkin.

1. Kubernetes Proxy zaifligi (CVE-2025-0475)

GitLab’ning Kubernetes proksi nuqtasidagi yuqori darajadagi XSS zaifligi 15.10 dan 17.9.0 gacha bo‘lgan barcha versiyalarni qamrab oladi.

Bu zaiflik proksi javoblari noto‘g‘ri filtrlanganda zararli JavaScript kodlari kiritilishiga va DOM-based XSS hujumlariga yo‘l ochadi. GitLab rasmiy bayonotida quyidagicha ta’kidlanadi:

“Proksi funksiyasi ma’lum sharoitlarda rejalashtirilmagan tarkibni ko‘rsatishga olib kelishi va natijada XSS hujumlariga sabab bo‘lishi mumkin.”

Ushbu zaiflik quyidagi tahdidlarni yuzaga keltiradi:

Foydalanuvchi sessiyalarini o‘g‘irlash (document.cookie orqali ma’lumotlar ekfiltatsiyasi);

CI/CD quvurlarini (pipeline) o‘zgartirish (XMLHttpRequest orqali manipulyatsiya);

Zararli konteynerlarni Kubernetes API orqali joylashtirish.

2. Maven Dependency Proxy XSS zaifligi (CVE-2025-0555)

Ushbu XSS zaifligi GitLab-EE 16.6 dan 17.9.0 gacha bo‘lgan versiyalarga ta’sir qiladi.

Bu zaiflik hujumchilarga Content Security Policy (CSP) cheklovlaridan o‘tish imkonini beradi. Ushbu hujumlar maxsus tuzilgan dependency metadata fayllari orqali amalga oshiriladi va noto‘g‘ri kiritilgan ma’lumotlarni tekshirish (input validation) natijasida sodir bo‘ladi.

GitLab rasmiy bayonotida ta’kidlanishicha:

“Bu zaiflik muayyan sharoitlarda xavfsizlik devorlarini chetlab o‘tishga va foydalanuvchi brauzerida zararli skriptlarni bajarishga imkon beradi.”

Ushbu zaiflikdan foydalanish murakkab bo‘lsa-da (AC:H), Developer rolidan Maintainer roliga o‘tish uchun eskalatsiyani amalga oshirish mumkin.

3. O‘rta darajadagi xavflar

Bundan tashqari, uchta o‘rta darajadagi zaifliklar ham aniqlandi:

CVE-2024-8186 – HTML injeksiyasi orqali XSS hujumlariga yo‘l ochish (CVSS 5.4).

CVE-2024-10925 – Mehmon (Guest) foydalanuvchilar uchun xavfsizlik siyosati YAML fayllariga kirish imkonini berish (CVSS 5.3).

CVE-2025-0307 – Planner rolidagi foydalanuvchilar uchun kod ko‘rib chiqish (code review) metrikalariga kirish imkonini berish (CVSS 4.3).

GitLab jamoasi ushbu zaifliklarni bartaraf etish maqsadida 17.9.1, 17.8.4 va 17.7.6 versiyalarini chiqarilganini ma’lum qildi.

📌 Xavfsizlik choralarini kuchaytirish uchun tavsiyalar:

GitLab’ni yangilang – zararli kodlardan himoyalanish uchun GitLab’ning eng so‘nggi versiyasiga o‘tish muhim.

XSS hujumlarini oldini olish uchun CSP-ni kuchaytiring – GitLab brauzer orqali bajariladigan zararli skriptlarni bloklash uchun CSP siyosatlarini to‘g‘ri sozlang.

CI/CD xavfsizligini oshiring – CI/CD quvurlarining konfiguratsiyasini muntazam tekshirish va notanish manbalardan kelayotgan buyruqlarni bloklash kerak.

Brauzer xavfsizlik plaginlaridan foydalaning – foydalanuvchilarga XSS hujumlariga qarshi maxsus plaginlarni o‘rnatish tavsiya etiladi.

GitLab foydalanuvchilarining huquqlarini qayta ko‘rib chiqing – Developer va Maintainer rollari o‘rtasidagi imtiyozlarni qat’iy nazorat qiling.

GitLab’dagi yangi zaifliklar hujumchilarga foydalanuvchi sessiyalarini o‘g‘irlash, CI/CD quvurlarini buzish va Kubernetes API orqali zararli konteynerlar joylashtirish imkoniyatini beradi.

Agar GitLab yangilanmasa, bu zaifliklar APT guruhlari tomonidan ekspluatatsiya qilinishi mumkin. Shu sababli platformani zudlik bilan yangilash va xavfsizlik choralarini kuchaytirish tavsiya etiladi.

Unutmang: Xavfsizlik yangilanishlarini kechiktirish 48 soatdan oshganda, ekspluatatsiya ehtimoli keskin oshadi!

🔗 GitLab’ning rasmiy saytiga tashrif buyurib, so‘nggi yangilanishlarni o‘rnatishni unutmang!