GitLab’da xavfli zaifliklar bartaraf etildi: favqulodda yangilanishlar e’lon qilindi

GitLab platformasi ishlab chiquvchilari o‘z infratuzilmasi xavfsizligini mustahkamlash maqsadida bir nechta jiddiy zaifliklarni bartaraf etuvchi favqulodda xavfsizlik yangilanishlarini e’lon qildi. Ushbu yangilanishlar GitLab’ning Community Edition (CE) va Enterprise Edition (EE) nashrlariga taalluqli bo‘lib, ayrim holatlarda ixtiyoriy kod bajarilishi (Arbitrary Code Execution) hamda ruxsatsiz kirish xavfini keltirib chiqarishi mumkin bo‘lgan kamchiliklarni yopadi.

Yangilangan 18.7.1, 18.6.3 va 18.5.5 versiyalari 2026-yil 7-yanvar kuni GitLab.com infratuzilmasida joriy etildi. Shu bilan birga, o‘z serverlarida (self-managed) GitLab’dan foydalanayotgan tashkilotlarga imkon qadar tezroq yangilanish tavsiya etildi.

Eng xavfli zaiflik: CVE-2025-9222

Mazkur xavfsizlik paketidagi eng yuqori darajadagi zaiflikCVE-2025-9222 bo‘lib, u CVSS 8.7 ball bilan baholangan. Ushbu kamchilik GitLab Flavored Markdown’dagi placeholder mexanizmi bilan bog‘liq saqlanib qoluvchi XSS (Stored Cross-Site Scripting) turidagi zaiflik hisoblanadi.

Zaiflikdan foydalanish orqali tizimda ro‘yxatdan o‘tgan hujumchi:

  • zararli JavaScript kodini joylashtirishi,
  • ushbu kodni boshqa foydalanuvchilarning brauzerida ishga tushirishi,
  • foydalanuvchi sessiyalarini o‘g‘irlashi yoki ularning nomidan harakatlar bajarishi mumkin.

Mazkur zaiflik 18.2.2 dan 18.7.0 gacha bo‘lgan barcha versiyalarga ta’sir ko‘rsatgani bois, juda keng doiradagi GitLab o‘rnatmalar xavf ostida qolgan.

Web IDE orqali hujum xavfi

Yana bir yuqori darajadagi zaiflik — CVE-2025-13761 GitLab’ning Web IDE komponentiga taalluqli bo‘lib, CVSS 8.0 ball bilan baholangan. Bu kamchilik foydalanuvchini maxsus tayyorlangan zararli veb-sahifaga jalb qilish orqali:

  • brauzerda zararli kodni ishga tushirish,
  • GitLab sessiyasini egallab olish,
  • repozitoriyalarga ruxsatsiz kirish imkonini beradi.

Mazkur holat ayniqsa ishlab chiquvchilar uchun xavfli bo‘lib, kodlar yaxlitligi va maxfiyligiga jiddiy putur yetkazishi mumkin.

Enterprise Edition uchun alohida xatarlar

GitLab Enterprise Edition foydalanuvchilari uchun qo‘shimcha xavf tug‘diruvchi CVE-2025-13772 zaifligi ham bartaraf etildi. Ushbu muammo Duo Workflows API dagi ruxsatlarni noto‘g‘ri tekshirish bilan bog‘liq bo‘lib, CVSS 7.1 ballga ega.

Zaiflikdan foydalangan holda autentifikatsiyadan o‘tgan foydalanuvchi:

  • o‘ziga tegishli bo‘lmagan namespace lardagi
  • sun’iy intellekt (AI) model sozlamalariga ruxsatsiz kirishi mumkin bo‘lgan.

Mazkur zaiflik GitLab muhandisi Jessie Young tomonidan ichki audit jarayonida aniqlangan.

Qo‘shimcha zaifliklar

Xavfsizlik yangilanishi doirasida bir qator o‘rta va past darajadagi zaifliklar ham yopildi, jumladan:

  • CVE-2025-10569 — import funksiyalarida xizmatni rad etish (DoS) holatiga olib keluvchi kamchilik;
  • CVE-2025-11246 — GraphQL orqali runner sozlamalarini ruxsatsiz o‘zgartirish imkonini beruvchi kirish nazorati yetishmovchiligi;
  • CVE-2025-3950 — Mermaid diagrammalarini render qilish jarayonida axborot oshkor bo‘lishiga olib keluvchi past darajadagi muammo.

Yangilash bo‘yicha tavsiyalar

GitLab xavfsizlik guruhi ta’kidlashicha:

  • Omnibus paketlar,
  • manba kod orqali o‘rnatilgan tizimlar,
  • Helm chart asosidagi Kubernetes muhitlari

barchasi zudlik bilan yangilanishi shart.

Yagona serverli (single-node) o‘rnatmalarda yangilash jarayonida ma’lumotlar bazasi migratsiyasi sababli qisqa muddatli to‘xtashlar kuzatiladi. Biroq, ko‘p tugunli (multi-node) infratuzilmalarda to‘g‘ri rejalashtirish orqali uzluksiz (zero-downtime) yangilash imkoniyati mavjud.

Mazkur zaifliklar GitLab’ning keng qo‘llanilishini hisobga olgan holda, butun dunyo bo‘ylab minglab tashkilotlar uchun real kiberxavf tug‘dirgan. Ayniqsa XSS va Web IDE bilan bog‘liq kamchiliklar hujumchilar uchun qulay imkoniyat yaratgan.

Shu sababli, self-managed GitLab administratorlari:

  • rasmiy hujjatlar bilan tanishishi,
  • yangilanishlarni kechiktirmasdan o‘rnatishi,
  • GitLab’ning xavfsizlik yangiliklari uchun RSS kanaliga obuna bo‘lishi tavsiya etiladi.

Axborot xavfsizligi — bu bir martalik chora emas, balki doimiy hushyorlik va tezkor yangilanishlar orqali ta’minlanadigan jarayondir.