官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
GitLab已针对其社区版(CE)和企业版(EE)平台发布关键安全更新,修复了从高危跨站脚本(XSS)到未经授权的AI模型访问等一系列漏洞。本次发布的18.7.1、18.6.3和18.5.5版本已可立即获取,强烈建议自托管用户尽快升级。
三大高危漏洞威胁数据安全
本次修复包含三个可能危及用户账户和敏感数据的高危漏洞:
Markdown存储型XSS漏洞(CVE-2025-9222):该漏洞CVSS评分达8.7,是本次最严重的缺陷。攻击者可通过"GitLab风味Markdown占位符处理"注入恶意脚本,当其他用户查看被污染内容时,脚本将在其浏览器中执行。
Web IDE跨站脚本漏洞(CVE-2025-13761):CVSS评分8.0,攻击者无需认证即可诱骗受害者访问特制网页,通过Web IDE在受害者浏览器中执行任意代码。
Duo Workflows API授权绕过漏洞(CVE-2025-13772):该企业版专属漏洞CVSS评分7.1,已认证用户可通过操纵API请求"从未经授权的命名空间访问和使用AI模型设置"。
中危漏洞暴露DevOps环境复杂性
更新还修复了多个反映现代DevOps环境复杂性的中危问题:
AI GraphQL变更漏洞(CVE-2025-13781):由于缺乏授权检查,企业版用户可"修改全实例范围的AI功能提供商设置"。
导入拒绝服务漏洞(CVE-2025-10569):已认证用户在导入过程中通过"构造外部API调用响应"可触发拒绝服务攻击。
Runner操纵漏洞(CVE-2025-11246):权限缺陷允许用户通过调整GraphQL runner关联,"从无关项目中移除所有项目runner"。
影响范围与升级建议
这些漏洞影响多个版本,其中如"Mermaid图表渲染"信息泄露漏洞(CVE-2025-3950)甚至影响至10.3版。为确保开发流水线安全,管理员应立即升级至18.7.1、18.6.3或18.5.5版本。
参考来源:
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)