江蘇
關鍵詞
安全漏洞
GitLab 近日為其 Community Edition 與 Enterprise Edition 推出關鍵安全更新,以解決多項高危漏洞。這些補丁已包含在 18.6.1、18.5.3 與 18.4.5 版本中,能夠防止攻擊者繞過認證、竊取憑證,或通過拒絕服務攻擊導致服務器崩潰。官方托管的 GitLab.com 已經完成更新,而自建實例的管理員被強烈建議立即升級。
本輪修復中最受關注的是 CVE-2024-9183,這是一個發生在 CI/CD 緩存機制中的競爭條件漏洞。攻擊者只要擁有低權限賬號,就有機會在特定時機截獲更高權限用戶的憑證,從而進一步竊取管理員賬戶或執行未授權操作。
另一項重要修復針對 CVE-2025-12571,這是一處會導致拒絕服務的嚴重缺陷。攻擊者無需賬號即可通過構造惡意 JSON 請求讓 GitLab 實例崩潰,直接導致代碼倉庫無法訪問,嚴重影響組織的開發流程。
此次更新也修補了多項認證繞過問題,例如 CVE-2025-12653。在該漏洞中,未經認證的用戶可通過修改網絡請求頭部繞過安全校驗,并加入任意組織,破壞訪問控制,同時影響企業結構的安全性。
此外,多項中低危漏洞也一并得到處理,包括可導致服務器在處理特定 HTTP 響應時報錯的缺陷、在企業版中可能泄露受限安全報告的授權問題,以及 Terraform Registry 記錄中可能暴露敏感令牌的日志泄漏。
GitLab 官方敦促所有運行受影響版本的用戶立即升級至 18.6.1、18.5.3 或 18.4.5。單節點實例在升級期間會因數據庫遷移產生停機,而多節點部署則可通過滾動方式實現零停機更新。
如果組織未及時更新,這些公開補丁將為攻擊者提供足夠線索,用于逆向構造可用攻擊鏈,使系統面臨實際入侵風險。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
