江蘇
關鍵詞
漏洞
GitLab在本周關鍵安全更新中為其社區版(CE)和企業版(EE)發布了一系列重要補丁,修復了一個高危漏洞——攻擊者可能通過惡意Wiki頁面劫持用戶會話。此次更新涵蓋18.6.2、18.5.4和18.4.6版本,修復了從跨站腳本(XSS)到信息泄露等多個漏洞。GitLab敦促自托管實例的管理員"盡快升級至最新版本"以消除這些安全隱患。
高危XSS漏洞威脅會話安全
本次補丁中最值得關注的是CVE-2025-12716,這是一個CVSS評分8.7的高危XSS漏洞。該漏洞將Wiki功能的協作特性轉變為攻擊媒介。根據安全公告,該漏洞存在于"特定條件下",認證用戶可創建包含惡意內容的Wiki頁面。當其他用戶查看這些頁面時,系統可能"以其他用戶身份執行未授權操作"。簡言之,攻擊者可將文檔頁面武器化,悄無聲息地以受害者權限執行命令。
受影響版本包括:18.4.6之前的18.4系列、18.5.4之前的18.5系列,以及18.6.2之前的18.6系列。
輸入凈化不足引發注入風險
本次更新還修復了多個因平臺未能正確凈化用戶輸入而導致的"注入"類攻擊:
- CVE-2025-8405
:漏洞報告處理機制存在安全缺陷,不當編碼允許認證用戶向漏洞報告注入"惡意HTML",可能導致未授權操作。
- CVE-2025-12734
:合并請求標題被發現存在HTML注入風險,攻擊者可能通過精心構造的標題"泄露敏感信息"。
CVE-2025-13978(CVSS 4.3)是一個信息泄露漏洞,錯誤消息暴露了過多信息。公告指出,認證用戶可通過分析API錯誤響應"發現其無權訪問的私有項目名稱"。
此外,GitLab EE還修復了一個GraphQL查詢問題。該漏洞允許用戶通過執行特制查詢"從私有項目中泄露敏感信息",凸顯了保護現代API端點的復雜性。
GitLab.com和GitLab Dedicated環境已完成更新,但自托管實例在升級前仍面臨風險。安全團隊應立即部署18.6.2、18.5.4或18.4.6版本。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
