GitLab’dagi zaifliklar xakerlarga tizimni buzib kirish va foydalanuvchi huquqlarini chetlab o‘tish imkonini beradi
🔐 Dasturchilar va DevOps mutaxassislari keng foydalanadigan GitLab platformasi yana bir bor jiddiy kiberxavfsizlik muammolari bilan yuzma-yuz keldi. 2025-yil iyun oyida GitLab tomonidan chiqarilgan 18.1.2, 18.0.4 va 17.11.6 versiyalarida bir nechta yuqori darajadagi xavfsizlik zaifliklari bartaraf etildi.
Ayniqsa, GitLab Community Edition (CE) va Enterprise Edition (EE) foydalanuvchilari uchun bu zaifliklar jiddiy tahdid tug‘diradi. GitLab barcha foydalanuvchilarni tezkor yangilanishga chaqirmoqda.
Eng xavfli aniqlangan zaiflik — CVE-2025-6948 deb belgilangan Cross-Site Scripting (XSS) hujumi bo‘lib, u orqali yomon niyatli foydalanuvchi GitLab foydalanuvchilari nomidan amallarni bajara oladi.
🔍 Zaiflik tafsilotlari:
- CVSS reytingi: 8.7 (yuqori darajada xavfli)
- Ta’sir qiluvchi versiyalar: 17.11 dan 18.1.1 gacha bo‘lgan barcha CE va EE turlari
- Xavf: Malumotlar maxfiyligi va yaxlitligiga jiddiy zarar yetkazilishi mumkin
- Talablar: Faqat tarmoqga kirish va kam darajadagi imtiyozlar, foydalanuvchining oddiy o‘zaro aloqasi kifoya
Bu XSS hujumi orqali kiberjinoyatchilar GitLab sahifalariga zararli kod joylashtirib, foydalanuvchi roziligisiz turli harakatlarni amalga oshirish imkoniga ega bo‘lishadi.
XSS bilan birga, GitLab’da bir nechta ruxsat muammolari (authorization bypass) ham aniqlangan. Bu zaifliklar autentifikatsiyadan o‘tgan foydalanuvchilarga guruh yoki loyiha darajasidagi cheklovlarni aylanib o‘tishga imkon beradi.
💥 Zaifliklar ro‘yxati:
| CVE kodi | Ta’rif | Daraja | CVSS ball |
|---|---|---|---|
| CVE-2025-6948 | XSS orqali foydalanuvchi nomidan amal bajarish | Yuqori | 8.7 |
| CVE-2025-3396 | API orqali guruhga fork cheklovlarini chetlab o‘tish | O‘rta | 4.3 |
| CVE-2025-6168 | Taklif huquqiga ega foydalanuvchilarning ruxsatsiz foydalanuvchi qo‘shishi | Past | 2.7 |
| CVE-2025-4972 | Guruh taklif funksiyasining noto‘g‘ri ishlashi | Past | 2.7 |
Bu zaifliklar orqali foydalanuvchilar API manipulyatsiyasi yordamida guruh siyosatlari va xavfsizlik nazoratlarini buzib o‘tishlari mumkin.
Yangilanishlar orasida rsync dasturining xavfsizroq versiyasi — 3.4.1 ham mavjud bo‘lib, u CVE-2024-12084 va CVE-2024-12088 kabi boshqa xavflarni bartaraf etadi.
Barcha GitLab foydalanuvchilariga quyidagilarni darhol amalga oshirish tavsiya qilinadi:
- Agar sizda 17.11, 18.0 yoki 18.1 versiyalari bo‘lsa, tegishli tarzda ularni 17.11.6, 18.0.4 yoki 18.1.2 versiyalariga yangilang.
- API ruxsatlarini nazorat qiling va foydalanuvchilarga berilgan vakolatlarni qayta ko‘rib chiqing.
- XSS va ruxsatni aylanib o‘tish zaifliklarini oldini olish uchun GitLab’ni har doim eng so‘nggi versiyada saqlang.
GitLab’da aniqlangan ushbu zaifliklar, ayniqsa XSS hujumi orqali foydalanuvchi vakolatini soxtalashtirish imkoniyati, platformadan faol foydalanayotgan tashkilotlar uchun katta xavf tug‘diradi.
Barcha administratorlar va dasturchilar xavfsizlikni ta’minlash uchun vaziyatga befarq bo‘lmasliklari, tizimlarini zudlik bilan yangilashlari va foydalanuvchilarning API imkoniyatlarini qat’iy nazorat qilishlari lozim.
Eslatma: Ushbu zaifliklar GitLab’ning HackerOne bug bounty dasturi orqali aniqlangan bo‘lib, bu platformaning ochiq va mas’uliyatli xavfsizlik siyosatini namoyon etadi.
