共计 831 个字符,预计需要花费 3 分钟才能阅读完成。
</p/>
GitLab 面向社区版(CE)与企业版(EE)发布 关键安全更新 ,涉及版本 18.9.2、18.8.6、18.7.6。此次紧急补丁修复了多处 高危漏洞 ,可防范账号被盗、服务中断与未授权数据篡改等风险。
本次更新重点修复 四项高危漏洞 ,未升级环境将面临严重威胁:
CVE-2026-1090(CVSS 8.7)
Markdown 占位符处理过程中存在 跨站脚本漏洞(XSS)。攻击者可利用该漏洞在其他用户会话中执行恶意脚本。
CVE-2026-1069(CVSS 7.5)
GraphQL API 存在 拒绝服务漏洞 。攻击者可通过构造请求耗尽 API 资源,导致服务对全体用户不可用。
CVE-2025-13929(CVSS 7.5)
代码仓库归档接口存在独立的 拒绝服务漏洞 ,可被用于阻止用户下载或归档项目代码。
CVE-2025-14513(CVSS 7.5)
负责管理 保护分支 (保障代码完整性的核心安全功能)的 API 同样存在 拒绝服务漏洞 。
除高危威胁外,GitLab 安全团队同时修复了多项中低危漏洞,全面强化平台安全:
- Webhook 相关漏洞 :修复自定义请求头与接口处两处独立拒绝服务问题。
- 访问控制与权限 :修复 Runner API、代码片段渲染中的权限控制不当,以及群组导入功能缺失授权校验问题。
- 信息泄露 :修复可导致无权限问题信息泄露的漏洞。
- 数据完整性与凭证 :修复可能泄露 API 密钥的 Datadog 集成问题,以及分支引用校验错误导致下载代码异常的缺陷。
- 虚拟仓库泄露 :修复企业版虚拟仓库权限不当问题,该问题曾允许非群组成员访问相关数据。
GitLab 在官方安全公告中表示: 我们强烈建议所有自建部署的 GitLab 实例立即升级至上述版本 。
管理员应核对当前版本,并升级至 18.9.2、18.8.6 或 18.7.6 以彻底缓解风险。
关于点小安 :点滴安全网站小编,专注 AI 安全攻防技术分享。
来源 :安全客
声明 :本文基于公开信息整理,观点仅供参考,不构成安全建议。
关注点滴安全(dripsafe.cn),获取更多 AI 安全资讯!
