Троянский форк: от шалости до крита

06.05.2026 09:29:58 | Хабр

Хабы: Блог компании Бастион, Информационная безопасность, GitHub, Тестирование веб-сервисов, Bug hunters

Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании?

Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют».

GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю.

В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру.

Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462, BDU:2025-12463, BDU:2025-12464.

Подробнее

Читайте также

Маркировка «импортозаместительного» ПО не задалась
06.05.2026 09:24:31 | it-world

Как собрать пайплайн с LLM агентом использующим эмуляторы Android девайсов
06.05.2026 09:23:29 | Хабр

Злоумышленники обманули ИИ и украли 150 000 долларов из кошелька Grok
06.05.2026 09:23:14 | ferra.ru

FSRS для Obsidian: помнить всё
06.05.2026 09:22:54 | Хабр

Миграция с Greenplum. Эпизод I: Атака клонов и спасение на звёздных камнях
06.05.2026 09:13:06 | Хабр

[Перевод] Имитация 3D-персонажей в 2D-движке
06.05.2026 09:03:30 | Хабр

Как Monium приручил GC: разбираемся со сборщиками мусора в observability‑платформе
06.05.2026 09:00:21 | Хабр

Как я поднялась на три пятитысячника за месяц и как выбрать первую вершину
06.05.2026 09:00:21 | Хабр

Machine Unlearning. Как измерить и достичь «забывания»?
06.05.2026 09:00:21 | Хабр

В фокусе RVD: трендовые уязвимости апреля
06.05.2026 08:56:14 | Хабр

Чебурнет близко
06.05.2026 08:50:30 | Хабр

О бедном луддите замолвите слово…
06.05.2026 08:48:09 | Хабр

Коэффициент токсичности задачи: как одна метрика снизила текучку в команде до 10%
06.05.2026 08:32:17 | Хабр

Как настроить AI-агента под проект: контекст, rules, skills, MCP — конспект двух вебинаров
06.05.2026 08:22:04 | Хабр

Обратное распространение ошибки: от интуиции до кода
06.05.2026 08:20:37 | Хабр

Строим шину данных для микросервисов на ZeroMQ: failover, гарантии доставки и E2E-шифрование
06.05.2026 08:20:15 | Хабр

День 1533: Минфин предложил новые формулы расчёта ставок льготных кредитов бизнесу
06.05.2026 08:15:25 | vc.ru

Знакомство с командой операционной эффективности
06.05.2026 08:01:11 | Хабр

Муравьи против трансформеров: старый алгоритм 1992 года, который вернулся
06.05.2026 08:00:13 | Хабр

Создание чат-бота в портале Битрикс24 с помощью AI-агентов
06.05.2026 08:00:12 | Хабр

Можно ли заменить диктора open-source TTS-моделью: тестируем OmniVoice на русском языке
06.05.2026 08:00:11 | Хабр

Второй мозг и LLM-Wiki: Теория и практический гайд по созданию и поддержке личной базы знаний
06.05.2026 07:58:20 | Хабр

Кто и зачем считает пустые поля Техаса со спутника: расследование о задержках стройки американских мегаЦОД
06.05.2026 07:53:25 | Хабр

Обратная связь в команде: необходимо, но недостаточно
06.05.2026 07:49:48 | Хабр

200 OK по протоколу, но не OK для клиента: автоматизация контроля совместимости API и приложения
06.05.2026 07:40:42 | Хабр

Глава Nvidia: ИИ не забирает работу, а создаёт миллионы новых мест
06.05.2026 07:23:13 | ferra.ru

На периферии трёх миров: ещё один шаг к нейронной операционной системе
06.05.2026 07:11:11 | Хабр

Как российское судостроение осваивает Engee
06.05.2026 07:11:03 | Хабр

Как подготовиться к алгоритмическим соревнованиям: опыт финалиста ICPC
06.05.2026 07:00:35 | Хабр

Фотоны под маской электронов: оптические вихри
06.05.2026 07:00:27 | Хабр

Битва двух ёкодзун: почему детекторы ИИ и гуманизаторы делают тексты еще хуже
06.05.2026 06:55:04 | Хабр

Нужно проанализировать данные? Какую нейросеть выбрать в SpeShu.AI
06.05.2026 06:46:59 | Хабр

Как мы автоматизировали аналитику маркетплейсов в Yandex Datalens
06.05.2026 06:45:56 | Хабр

MCP в Cursor IDE: подключаем AI-агенту внешние данные без возни с API
06.05.2026 06:27:53 | Хабр

Apple Computer vs. Apple Records: 30-летняя война за «яблоко»
06.05.2026 06:24:06 | Хабр

Смотреть все

НОВОСТИ

В Госдуму внесли отчет об исполнении бюджета Соцфонда России за 2025 год
28.05.2026 19:38:51 | ТАСС

Россельхознадзор усомнился в компетентности Министерства экономики Армении
28.05.2026 19:37:50 | ТАСС

ТАСС: украинцы отказываются учиться в учреждениях ПЦУ, несмотря на отсрочку от армии
28.05.2026 19:37:02 | ТАСС

Сборная Финляндии вышла в полуфинал чемпионата мира по хоккею
28.05.2026 19:36:58 | ТАСС

Дивеев будет капитаном сборной России по футболу в матче с египтянами
28.05.2026 19:36:25 | ТАСС

В Москве наградили лауреатов премии "Гипертекст"
28.05.2026 19:36:01 | ТАСС

ТАСС: жители прифронтовых сел Украины ждут ВС РФ в надежде стать гражданами России
28.05.2026 19:35:19 | ТАСС

ТАСС: на Украине готовится захват Свято-Троицкого храма канонической УПЦ
28.05.2026 19:34:23 | ТАСС

Не работать — не значит прохлаждаться: Протоиерей разоблачил главный миф о Троице
28.05.2026 19:33:18 | Life.ru

ТАСС: большая часть взяток ТЦК идет в "черную кассу" Зеленского
28.05.2026 19:33:11 | ТАСС

Россиянам посоветовали способ снизить давление с помощью одного овоща
28.05.2026 19:31:12 | Lenta.ru

Названы победители конкурса "Знаешь? Научи!"
28.05.2026 19:31:08 | ТАСС

Калининградца осудили за кражу коллекционных монет на 25 млн рублей
28.05.2026 19:30:44 | ТАСС

Сейм Латвии утвердил новое правительство во главе с Кулбергсом
28.05.2026 19:30:41 | Life.ru

Топ-менеджер Walt Disney получил срок в России за наркотики
28.05.2026 19:29:36 | Lenta.ru

Ефимов: освобождены 24 площадки для реновации, квартирами обеспечат 15 тысяч москвичей
28.05.2026 19:29:18 | Lenta.ru

Суд заключил под стражу главу департамента Минтранса Васильченко за взятку
28.05.2026 19:28:50 | Life.ru

Жители Новороссии смогут подтвердить нестраховые периоды для включения в стаж
28.05.2026 19:27:51 | ТАСС

Футболисты "Спартака" начнут подготовку к новому сезону 22 июня
28.05.2026 19:27:15 | ТАСС

Лукашенко сравнил страх перед ИИ и изучением китайского языка
28.05.2026 19:27:11 | ТАСС

Путин назвал реальным сценарий исчезновения ряда профессий из-за ИИ
28.05.2026 19:27:09 | Lenta.ru

Российские врачи спасли мужчину с прокушенной медведем головой
28.05.2026 19:27:09 | Lenta.ru

Албания сделала заявление о возможном ударе по Киеву
28.05.2026 19:26:50 | Lenta.ru

Мурашко: в РФ выживаемость детей с онкозаболеваниями превышает 83%
28.05.2026 19:26:29 | ТАСС

В МИД России указали на противоречия в заявлениях Армении
28.05.2026 19:26:05 | Lenta.ru

«Это достаточно серьезный удар». Россия начала бить по армянской экономике на фоне сближения Еревана с ЕС
28.05.2026 19:25:42 | Lenta.ru

Ида Галич вышла в свет в украшениях за шесть миллионов рублей
28.05.2026 19:25:40 | Lenta.ru

Москвичам рассказали о погоде в июне
28.05.2026 19:25:00 | Lenta.ru

Квартальнов возвращается: Чемпионский «Локомотив» нашёл замену Хартли
28.05.2026 19:24:10 | Life.ru

В Архангельске открыли мурал в честь Героя России Сергея Ванеева
28.05.2026 19:23:23 | ТАСС

Малышева перечислила семь правил посещения общественного туалета
28.05.2026 19:22:14 | Lenta.ru

В Донецке открыли бюст Героя РФ и ДНР Романа Воробьева
28.05.2026 19:21:16 | ТАСС

Токаев заявил, что ЕАЭС на фоне турбулентности обеспечил стабильность экономик
28.05.2026 19:20:05 | Life.ru

Запашный: львы в цирке могут дожить до 20 лет
28.05.2026 19:19:13 | ТАСС

Украинец попал в плен и признался в любви сразу двум девушкам
28.05.2026 19:18:00 | Российская Газета

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro