Компания GitLab выпустила обновления безопасности для Community Edition (CE) и Enterprise Edition (EE), устранив 9 уязвимостей, включая две критические в библиотеке ruby-saml, используемой для SAML Single Sign-On (SSO).
Все недостатки были устранены в версиях GitLab CE/EE 17.7.7, 17.8.5 и 17.9.2. Все предыдущие версии остаются уязвимыми. GitLab уже обновлён, а клиенты GitLab Dedicated получат уведомление после обновления их инстанса. Пользователи, использующие самостоятельно управляемые инсталляции на собственной инфраструктуре, должны обновиться вручную.
CVE-2025-25291 (ruby-saml) – критическая
CVE-2025-25292 (ruby-saml) – критическая
CVE-2025-27407 (graphql) – уязвимость высокой степени опасности
Основные уязвимости CVE-2025-25291 и CVE-2025-25292 позволяют атакующему, имеющему доступ к подписанному SAML-документу, выдавать себя за другого пользователя в рамках одного Identity Provider (IdP). Это создает риск несанкционированного доступа, компрометации данных и эскалации привилегий.
Дополнительно исправлена уязвимость CVE-2025-27407 (RCE). Злоумышленник с учетной записью в системе мог использовать функцию Direct Transfer, чтобы выполнить код на удалённом сервере. Функция отключена по умолчанию, но при включении может представлять угрозу.
Если обновление пока невозможно, то рекомендуется:
Включить двухфакторную аутентификацию (2FA) для всех пользователей. Обратите внимание, что MFA на уровне провайдера идентификации не поможет решить эту проблему.
Отключить обход двухфакторной аутентификации для SAML.
Запретить автоматическое создание учетных записей без одобрения администратора
.
🛡 Но эти меры лишь временные, и обновление до 17.9.2, 17.8.5 или 17.7.7 остаётся единственным надежным способом защиты.
Все недостатки были устранены в версиях GitLab CE/EE 17.7.7, 17.8.5 и 17.9.2. Все предыдущие версии остаются уязвимыми. GitLab уже обновлён, а клиенты GitLab Dedicated получат уведомление после обновления их инстанса. Пользователи, использующие самостоятельно управляемые инсталляции на собственной инфраструктуре, должны обновиться вручную.
CVE-2025-25291 (ruby-saml) – критическая CVE-2025-25292 (ruby-saml) – критическая CVE-2025-27407 (graphql) – уязвимость высокой степени опасностиОсновные уязвимости CVE-2025-25291 и CVE-2025-25292 позволяют атакующему, имеющему доступ к подписанному SAML-документу, выдавать себя за другого пользователя в рамках одного Identity Provider (IdP). Это создает риск несанкционированного доступа, компрометации данных и эскалации привилегий.
Дополнительно исправлена уязвимость CVE-2025-27407 (RCE). Злоумышленник с учетной записью в системе мог использовать функцию Direct Transfer, чтобы выполнить код на удалённом сервере. Функция отключена по умолчанию, но при включении может представлять угрозу.
Если обновление пока невозможно, то рекомендуется:
Включить двухфакторную аутентификацию (2FA) для всех пользователей. Обратите внимание, что MFA на уровне провайдера идентификации не поможет решить эту проблему. Отключить обход двухфакторной аутентификации для SAML. Запретить автоматическое создание учетных записей без одобрения администратора
Код:
(gitlab_rails['omniauth_block_auto_created_users'] = true)🛡 Но эти меры лишь временные, и обновление до 17.9.2, 17.8.5 или 17.7.7 остаётся единственным надежным способом защиты.
