关键漏洞信息 发布日期: 2026年1月7日 版本: 18.7.1, 18.6.3, 18.5.5 适用版本: GitLab Community Edition (CE) 和 Enterprise Edition (EE) 安全修复: CVE-2025-9222 - 问题: 存储型跨站脚本攻击 (GitLab Flavored Markdown placeholder 处理问题) - 影响版本: 18.2.2 之前的 CE/EE 版本, 18.5.5 之前的 18.6 版本, 18.6.3 之前的 18.7 版本 - CVSS: 8.7 CVE-2025-13761 - 问题: Web IDE 中的跨站脚本攻击问题 - 影响版本: 18.6.3 之前的所有 18.6 版本和 18.7.1 之前的 18.7 版本 - CVSS: 8.0 CVE-2025-13772 - 问题: Duo Workflows API 中的授权问题 - 影响版本: 18.5.5 之前的所有 18.4 版本, 18.6.3 之前的 18.6 版本, 18.7.1 之前的 18.7 版本 - CVSS: 7.1 CVE-2025-13781 - 问题: AI GraphQL 中的授权问题 - 影响版本: 18.6.3 之前的 18.5.5 版本, 18.6.3 之前的 18.6 版本, 18.7.1 之前的 18.7 版本 - CVSS: 6.5 CVE-2025-10569 - 问题: 导入功能中的拒绝服务问题 - 影响版本: 8.3 之前的所有 CE/EE 版本, 18.5.5 之前的 18.7 版本, 18.6.3 之前的 18.6 版本, 18.7.1 之前的 18.7 版本 - CVSS: 6.5 CVE-2025-11246 - 问题: GraphQL runnerUpdate mutation 中的访问控制粒度问题 - 影响版本: 15.4 之前的所有 CE/EE 版本, 18.5.5 之前的 18.6 版本, 18.7.1 之前的 18.7 版本 - CVSS: 5.4 CVE-2025-3950 - 问题: Mermaid 图渲染中的信息泄露问题 - 影响版本: 10.3 之前的所有 CE/EE 版本, 18.5.5 之前的 18.6 版本, 18.7.1 之前的 18.7 版本 - CVSS: 3.5 官方建议: 强烈推荐所有受影响版本的用户尽快升级到最新版本。 有关更多详细信息和升级步骤,请访问GitLab的安全更新页面。