GitLab 修复多个可导致拒绝服务与代码注入攻击的漏洞

GitLab 已为其社区版（CE）和企业版（EE）发布紧急安全更新（版本 18.10.3、18.9.5 及 18.8.9），用于修复可导致拒绝服务（DoS）与代码注入攻击的高危漏洞。

GitLab 强烈建议所有自托管实例的管理员立即升级，以保护其系统环境。

高危漏洞详情
本次安全版本更新修复了三个对 GitLab 环境构成重大风险的高危漏洞：

• CVE-2026-5173（CVSS 评分 8.5）：由于访问控制不当，经过身份验证的攻击者可通过 WebSocket 连接执行非预期的服务器端命令。
  
  
• CVE-2026-1092（CVSS 评分 7.5）：未经身份验证的用户可通过向 Terraform 状态锁定 API 提交未正确校验的 JSON 数据，触发拒绝服务攻击。
  
  
• CVE-2025-12664（CVSS 评分 7.5）：未持有账户的攻击者可通过大量重复的 GraphQL 查询使服务器过载，造成拒绝服务。
  

除上述严重问题外，GitLab 还处理了数个可能危及用户安全与系统稳定性的中危漏洞：

• CVE-2026-1516（CVSS 评分 5.7）：经认证的用户可将恶意代码注入代码质量报告，在他人查看报告时秘密泄露其 IP 地址。
  
  
• CVE-2026-1403（CVSS 评分 6.5）：CSV 文件校验机制薄弱，允许认证用户在文件导入过程中导致后台 Sidekiq 工作进程崩溃。
  
  
• CVE-2026-4332（CVSS 评分 5.4）：分析仪表板中输入过滤不严，可能使攻击者在其他用户的浏览器中执行恶意 JavaScript 代码。
  
  
• CVE-2026-1101（CVSS 评分 6.5）：GraphQL 查询输入验证缺陷，允许认证用户造成整个 GitLab 实例的拒绝服务。
  

其他安全修复
本次更新还包含多个低危漏洞修复，涉及数据泄露与访问控制问题：

• CVE-2026-2619（CVSS 评分 4.3）：授权逻辑错误，导致具有审计员权限的认证用户能够修改私有项目中的漏洞标记数据。
  
  
• CVE-2025-9484（CVSS 评分 4.3）：信息泄露漏洞，认证用户可通过特定的 GraphQL 查询查看其他用户的邮箱地址。
  
  
• CVE-2026-1752（CVSS 评分 4.3）：访问控制不当，允许开发人员修改受保护环境的设置。
  
  
• CVE-2026-2104（CVSS 评分 4.3）：CSV 导出功能授权检查不足，允许用户访问分配给其他人的机密议题。
  
  
• CVE-2026-4916（CVSS 评分 2.7）：缺少授权检查，允许拥有自定义角色的用户降级或移除更高权限的群组成员。
  

GitLab 强调，所有自托管实例必须尽快升级至 18.10.3、18.9.5 或 18.8.9 版本。

由于本次更新无需复杂的数据库变更，多节点部署环境可在无系统停机的情况下完成升级。

GitLab.com 托管用户及 GitLab Dedicated 用户已处于安全状态，因为该公司已向其云服务器部署了相关补丁。