Η GitLab, μια από τις κορυφαίες πλατφόρμες ανάπτυξης λογισμικού, ανακοίνωσε πρόσφατα επείγουσες ενημερώσεις ασφαλείας για τις εκδόσεις της Community Edition (CE) και Enterprise Edition (EE), κυκλοφορώντας τις εκδόσεις 18.10.3, 18.9.5 και 18.8.9. Αυτές οι ενημερώσεις είναι ζωτικής σημασίας για την προστασία των χρηστών από ευπάθειες υψηλής σοβαρότητας που επιτρέπουν επιθέσεις Denial-of-Service (DoS) και code injection.
Η GitLab τονίζει τη σημασία της άμεσης αναβάθμισης όλων των αυτοδιαχειριζόμενων συστημάτων για να διασφαλιστεί η ασφάλεια και η σταθερότητα των εφαρμογών και των δεδομένων τους.
Ευπάθειες Υψηλής Σοβαρότητας
Η τελευταία ενημέρωση επεξεργάζεται τρία καθοριστικά σφάλματα ασφαλείας που ενδέχεται να προκαλέσουν σοβαρές επιπτώσεις σε περιβάλλοντα GitLab:
- CVE-2026-5173 (CVSS 8.5): Ένας επιβεβαιωμένος εισβολέας μπορεί να εκτελέσει ακούσιες εντολές από την πλευρά του διακομιστή μέσω WebSocket, λόγω ανεπαρκών ελέγχων πρόσβασης.
- CVE-2026-1092 (CVSS 7.5): Χρήστες χωρίς έλεγχο ταυτότητας μπορούν να προκαλέσουν επίθεση DoS με την υποβολή ακατάλληλα επικυρωμένων δεδομένων JSON στο API κλειδώματος κατάστασης Terraform.
- CVE-2025-12664 (CVSS 7.5): Εισβολείς χωρίς λογαριασμό μπορούν να προκαλέσουν κατάσταση DoS κατακλύζοντας τον διακομιστή με επαναλαμβανόμενα ερωτήματα GraphQL.
Αυτές οι ευπάθειες μπορεί να οδηγήσουν σε σοβαρές διαταραχές λειτουργίας και απώλεια δεδομένων, κάνοντάς τες κρίσιμες για την αντιμετώπιση.
Ευπάθειες Μεσαίας Σοβαρότητας
Επιπλέον, η GitLab έχει επιλύσει και αρκετές ευπάθειες μεσαίου επιπέδου που ενδέχεται να επηρεάσουν την ασφάλεια των χρηστών:
- CVE-2026-1516 (CVSS 5.7): Επαληθευμένοι χρήστες μπορούν να εισάγουν κακόβουλο κώδικα σε αναφορές ποιότητας κώδικα, αποκαλύπτοντας τις διευθύνσεις IP άλλων χρηστών.
- CVE-2026-1403 (CVSS 6.5): Αδύναμη επικύρωση αρχείων CSV επιτρέπει επαληθευμένους χρήστες να διακόψουν τη λειτουργία του Sidekiq κατά την εισαγωγή αρχείων.
- CVE-2026-4332 (CVSS 5.4): Κακό φιλτράρισμα εισόδου στους πίνακες εργαλείων μπορεί να επιτρέψει σε εισβολείς να εκτελέσουν επιβλαβή JavaScript.
- CVE-2026-1101 (CVSS 6.5): Κακή επικύρωση εισόδου σε ερωτήματα GraphQL μπορεί να προκαλέσει DoS σε ολόκληρη την παρουσία του GitLab.
Πρόσθετες Ενημερώσεις Κώδικα Ασφαλείας
Η ενημέρωση περιλαμβάνει επίσης αρκετές χαμηλότερης σοβαρότητας ευπάθειες που επιλύουν διαρροές δεδομένων και προβλήματα ελέγχου πρόσβασης:
- CVE-2026-2619 (CVSS 4.3): Εσφαλμένη εξουσιοδότηση επιτρέπει σε χρήστες με δικαιώματα ελεγκτή να τροποποιήσουν δεδομένα ευπάθειας σε ιδιωτικά έργα.
- CVE-2025-9484 (CVSS 4.3): Σφάλμα αποκάλυψης πληροφοριών επιτρέπει στους χρήστες να βλέπουν διευθύνσεις email άλλων μέσω ερωτημάτων GraphQL.
- CVE-2026-1752 (CVSS 4.3): Ακατάλληλα στοιχεία ελέγχου πρόσβασης επιτρέπουν στους προγραμματιστές να τροποποιήσουν τις ρυθμίσεις προστατευμένου περιβάλλοντος.
- CVE-2026-2104 (CVSS 4.3): Ανεπαρκείς έλεγχοι εξουσιοδότησης στις εξαγωγές CSV εκθέτουν εμπιστευτικά ζητήματα σε άλλους χρήστες.
- CVE-2026-4916 (CVSS 2.7): Έλεγχος εξουσιοδότησης που λείπει επιτρέπει σε χρήστες με προσαρμοσμένους ρόλους να επηρεάσουν μέλη ομάδας υψηλότερων προνομίων.
Η GitLab συνιστά την αναβάθμιση όλων των αυτοδιαχειριζόμενων εγκαταστάσεων στις εκδόσεις 18.10.3, 18.9.5 ή 18.8.9 το συντομότερο δυνατό, για τη διασφάλιση της ασφάλειας των εφαρμογών.
Η διαδικασία αναβάθμισης είναι απλή, καθώς δεν απαιτεί πολύπλοκες αλλαγές στη βάση δεδομένων και οι αναπτύξεις πολλών κόμβων μπορούν να αναβαθμιστούν χωρίς διακοπές λειτουργίας.
Επιπλέον, οι χρήστες που φιλοξενούνται στο GitLab.com ή χρησιμοποιούν το GitLab Dedicated είναι ήδη ασφαλείς, καθώς η εταιρεία έχει ήδη εφαρμόσει τις απαραίτητες ενημερώσεις στους διακομιστές cloud της.
