关键词
安全漏洞
GitLab 近日为其 Community Edition 与 Enterprise Edition 推出关键安全更新,以解决多项高危漏洞。这些补丁已包含在 18.6.1、18.5.3 与 18.4.5 版本中,能够防止攻击者绕过认证、窃取凭证,或通过拒绝服务攻击导致服务器崩溃。官方托管的 GitLab.com 已经完成更新,而自建实例的管理员被强烈建议立即升级。
本轮修复中最受关注的是 CVE-2024-9183,这是一个发生在 CI/CD 缓存机制中的竞争条件漏洞。攻击者只要拥有低权限账号,就有机会在特定时机截获更高权限用户的凭证,从而进一步窃取管理员账户或执行未授权操作。
另一项重要修复针对 CVE-2025-12571,这是一处会导致拒绝服务的严重缺陷。攻击者无需账号即可通过构造恶意 JSON 请求让 GitLab 实例崩溃,直接导致代码仓库无法访问,严重影响组织的开发流程。
此次更新也修补了多项认证绕过问题,例如 CVE-2025-12653。在该漏洞中,未经认证的用户可通过修改网络请求头部绕过安全校验,并加入任意组织,破坏访问控制,同时影响企业结构的安全性。
此外,多项中低危漏洞也一并得到处理,包括可导致服务器在处理特定 HTTP 响应时报错的缺陷、在企业版中可能泄露受限安全报告的授权问题,以及 Terraform Registry 记录中可能暴露敏感令牌的日志泄漏。
GitLab 官方敦促所有运行受影响版本的用户立即升级至 18.6.1、18.5.3 或 18.4.5。单节点实例在升级期间会因数据库迁移产生停机,而多节点部署则可通过滚动方式实现零停机更新。
如果组织未及时更新,这些公开补丁将为攻击者提供足够线索,用于逆向构造可用攻击链,使系统面临实际入侵风险。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴