GitLab Security Patches: CSRF, Path Traversal, XSS, DoS (CVE-2026-4922/5816/5262)

GitLab 安全补丁发布总结 (18.11.1, 18.10.4, 18.9.6) 漏洞概述 GitLab 发布了针对 18.11.1, 18.10.4, 18.9.6 版本的安全补丁，修复了多个严重的安全漏洞，包括跨站请求伪造 (CSRF)、路径等价物解析错误、跨站脚本 (XSS)、拒绝服务 (DoS) 以及不正确的访问控制等问题。 影响范围 受影响版本： GitLab CE/EE 18.11 版本（在 18.11.1 之前） GitLab CE/EE 18.10 版本（在 18.10.4 之前） GitLab CE/EE 18.9 版本（在 18.9.6 之前） 受影响组件：GraphQL API、Web IDE、Storybook、讨论端点、Jira 导入、Notes 端点、虚拟注册表、Issue 描述渲染器、Mermaid 沙箱、项目 Fork 关系 API。 修复方案 升级建议：强烈建议所有 GitLab 安装立即升级到上述补丁版本。 GitLab Dedicated：客户无需采取任何操作，GitLab 已自动运行补丁版本。 具体修复措施： 修复了 GraphQL API 中未授权用户执行 GraphQL 操作的问题（CSRF）。 修复了 Web IDE 中未授权用户执行任意 JavaScript 的问题（路径验证）。 修复了 Storybook 中未授权用户访问令牌的问题（输入验证）。 修复了讨论端点、Jira 导入、Notes 端点、GraphQL API 中可能导致拒绝服务的问题（资源耗尽/输入验证）。 修复了虚拟注册表中无效或错误范围凭据访问的问题。 修复了 Issue 描述渲染器中访问机密或私有 Issue 标题的问题（访问控制）。 修复了 Mermaid 沙箱中加载未授权内容的问题（输入验证）。 修复了项目 Fork 关系 API 中绕过组 Fork 预防设置的问题（授权检查）。 详细漏洞列表 CVE-2026-4922 - GraphQL API 中的跨站请求伪造问题 CVSS: 3.1 (AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H) 修复: 修复了 CSRF 保护不足的问题。 CVE-2026-5816 - Web IDE 资产中的路径等价物解析错误问题 CVSS: 8.0 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N) 修复: 修复了路径验证不当的问题。 CVE-2026-5262 - Storybook 中的跨站脚本问题 CVSS: 8.0 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N) 修复: 修复了输入验证不当的问题。 CVE-2025-0186 - 讨论端点中的拒绝服务问题 CVSS: 6.5 (AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H) 修复: 修复了通过制作精心制作的请求耗尽服务器资源的问题。 CVE-2026-1660 - Jira 导入中的拒绝服务问题 CVSS: 6.5 (AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H) 修复: 修复了导入 Issue 时输入验证不当的问题。 CVE-2025-6016 - Notes 端点中的拒绝服务问题 CVSS: 6.5 (AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H) 修复: 修复了检索 Notes 时资源分配限制不足的问题。 CVE-2025-3922 - GraphQL API 中的拒绝服务问题 CVSS: 6.5 (AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H) 修复: 修复了系统资源耗尽的问题。 CVE-2026-6515 - 虚拟注册表凭据验证中的会话过期问题 CVSS: 5.4 (AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N) 修复: 修复了无效或错误范围凭据访问虚拟注册表的问题。 CVE-2026-5377 - Issue 描述渲染器中的不正确的访问控制问题 CVSS: 4.3 (AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N) 修复: 修复了 Issue 描述渲染过程中访问控制不当的问题。 CVE-2026-3254 - Mermaid 沙箱中的渲染 UI 层或框架限制不当问题 CVSS: 3.5 (AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N) 修复: 修复了 Mermaid 沙箱中输入验证不当的问题。 CVE-2025-9957 - 项目 Fork 关系 API 中的不正确的访问控制问题 CVSS: 2.7 (AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N) 修复: 修复了授权检查不当的问题。

目標達成 すべての支援者に感謝 — 100%達成しました！

GitLab Security Patches: CSRF, Path Traversal, XSS, DoS (CVE-2026-4922/5816/5262)

目標達成すべての支援者に感謝 — 100%達成しました！