FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

GitLab在本周关键安全更新中为其社区版（CE）和企业版（EE）发布了一系列重要补丁，修复了一个高危漏洞——攻击者可能通过恶意Wiki页面劫持用户会话。此次更新涵盖18.6.2、18.5.4和18.4.6版本，修复了从跨站脚本（XSS）到信息泄露等多个漏洞。GitLab敦促自托管实例的管理员"尽快升级至最新版本"以消除这些安全隐患。

高危XSS漏洞威胁会话安全

本次补丁中最值得关注的是CVE-2025-12716，这是一个CVSS评分8.7的高危XSS漏洞。该漏洞将Wiki功能的协作特性转变为攻击媒介。根据安全公告，该漏洞存在于"特定条件下"，认证用户可创建包含恶意内容的Wiki页面。当其他用户查看这些页面时，系统可能"以其他用户身份执行未授权操作"。简言之，攻击者可将文档页面武器化，悄无声息地以受害者权限执行命令。

受影响版本包括：18.4.6之前的18.4系列、18.5.4之前的18.5系列，以及18.6.2之前的18.6系列。

输入净化不足引发注入风险

本次更新还修复了多个因平台未能正确净化用户输入而导致的"注入"类攻击：

• CVE-2025-8405：漏洞报告处理机制存在安全缺陷，不当编码允许认证用户向漏洞报告注入"恶意HTML"，可能导致未授权操作。
• CVE-2025-12734：合并请求标题被发现存在HTML注入风险，攻击者可能通过精心构造的标题"泄露敏感信息"。

信息泄露与API安全问题

CVE-2025-13978（CVSS 4.3）是一个信息泄露漏洞，错误消息暴露了过多信息。公告指出，认证用户可通过分析API错误响应"发现其无权访问的私有项目名称"。

此外，GitLab EE还修复了一个GraphQL查询问题。该漏洞允许用户通过执行特制查询"从私有项目中泄露敏感信息"，凸显了保护现代API端点的复杂性。

GitLab.com和GitLab Dedicated环境已完成更新，但自托管实例在升级前仍面临风险。安全团队应立即部署18.6.2、18.5.4或18.4.6版本。

参考来源：

High-Severity GitLab XSS Flaw (CVE-2025-12716) Risks Session Hijack via Malicious Wiki Pages

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）