GitLab hitno zakrpava kritične flove u Duo AI i autentifikaciji
GitLab je objavio hitne ispravke za kritične flove u Duo AI, Wiki i autentifikaciji - administratori moraju odmah ažurirati.
Šta se desilo?
GitLab je objavio hitne bezbednosne ispravke za Community i Enterprise izdanja platforme 27. maja 2026. godine. Ažuriranja (verzije 19.0.1, 18.11.4 i 18.10.7) otklanjaju nekoliko kritičnih ranjivosti u Duo AI modulima, Wiki komponenti, GraphQL API-jima i autentifikacijskim endpointima. GitLab Cloud je već ažuriran, dok self-hosted korisnici moraju odmah da nadogradе svoje instance.
Koga pogađa?
Najčešće su ugroženi administratori GitLab self-managed instanci koji koriste verzije 18.8 do 19.0. Pogođene su i Community i Enterprise Edition. Organizacije koje koriste Duo AI workflow funkcionalnosti suočavaju se sa povećanim rizikom od neovlašćenog pristupa i lateralnog kretanja unutar sistema.
Kako se zaštititi?
- Odmah ažurirajte sve self-managed GitLab instance na verzije 19.0.1, 18.11.4 ili 18.10.7
- Pregledajte zapise o aktivnostima Duo AI i Wiki komponenti kako biste detektovali moguće zloupotrebe
- Primenjujte GitLab-ove preporuke za bezbednost self-managed okruženja
- Nadzrite pristup Duo AI workflow funkcionalnostima i ograničite dozvolе prema principu najmanje privilegije
- Onemogućite blokiranim Project Access Token-ima pristup privatnim resursima preko autentifikacijskih mehanizama
Tehnički detalji
Najznačajnija ranjivost je CVE-2026-4868 (CVSS 8.2) - neispravna rezolucija korisničkog identiteta u Duo AI workflow runner-ima koja omogućava ovlašćenom korisniku pokretanje workflow-a pod identitetom drugog korisnika. CVE-2026-1402 (CVSS 6.5) je DoS u Wiki komponenti zbog nedosledne validacije inputa. CVE-2026-6713 (CVSS 5.3) dopušta neovlašćenim korisnicima enumerisanje privatnih projekata preko GraphQL WorkItem API-ja. Dodatne srednje-težine ranjivosti uključuju: CVE-2026-5296 (preskakanje ograničenja u Duo Workflows API), CVE-2026-2601 (izlaganje podataka o deploymentu), CVE-2026-8716 (neispravna rezolucija imena u pipeline-ima) i CVE-2026-2710 (pristup blokiranih token-a privatnim resursima). Ažuriranja ne zahtevaju migracije baze podataka i mogu se primeniti bez downtime-a.
Preporuka Sajber Radara
Svi administratori GitLab self-managed okruženja moraju da prioritizuju nadogradnju na preporučene verzije bez odlaganja. Preporučujemo detaljnu analizu pristupa i aktivnosti u Duo AI modulima da biste identifikovali potencijalne neovlašćene akcije. Redovno ažuriranje bezbednosnih ispravki je kritično za sprečavanje eksploatacije ovih flova.