GitLab 漏洞总结 漏洞概述 GitLab 发布了多个安全补丁,修复了多个严重的安全漏洞。这些漏洞包括跨站脚本(XSS)、信息泄露、授权绕过、不正确的访问控制等。 影响范围 GitLab EE:所有版本从 16.4 到 18.11.6,19.0 到 19.0.3,19.1 到 19.1.1 GitLab CE/EE:所有版本从 18.10 到 18.11.6,19.0 到 19.0.3,19.1 到 19.1.1 GitLab EE:所有版本从 18.6 到 18.11.6,19.0 到 19.0.3,19.1 到 19.1.1 GitLab CE/EE:所有版本从 17.5 到 18.11.6,19.0 到 19.0.3,19.1 到 19.1.1 GitLab EE:所有版本从 13.11 到 18.11.6,19.0 到 19.0.3,19.1 到 19.1.1 GitLab CE/EE:所有版本从 9.3 到 18.11.6,19.0 到 19.0.3,19.1 到 19.1.1 GitLab CE/EE:所有版本从 14.8 到 18.11.6,19.0 到 19.0.3,19.1 到 19.1.1 GitLab CE/EE:所有版本从 17.11 到 18.11.6,19.0 到 19.0.3,19.1 到 19.1.1 GitLab CE/EE:所有版本从 13.6 到 18.11.6,19.0 到 19.0.3,19.1 到 19.1.1 GitLab EE:所有版本从 17.9 到 18.11.6,19.0 到 19.0.3,19.1 到 19.1.1 GitLab EE:所有版本从 18.6 到 18.11.6,19.0 到 19.0.3,19.1 到 19.1.1 GitLab CE/EE:所有版本从 8.3 到 18.11.6,19.0 到 19.0.3,19.1 到 19.1.1 修复方案 升级到最新版本:强烈建议所有受影响的 GitLab 安装升级到最新版本(19.1.1, 19.0.3, 18.11.6)。 具体修复措施: - CVE-2026-10086:修复了 Analytics Dashboard 中的跨站脚本问题。 - CVE-2026-10712:修复了 Web IDE workbench asset handler 中的跨站脚本问题。 - CVE-2026-12053:修复了 Duo Workflows 中的信息泄露问题。 - CVE-2026-5309:修复了 Virtual Registry Cleanup Policy API 中的授权绕过问题。 - CVE-2026-2238:修复了 Rapid Diffs 中的不正确的授权问题。 - CVE-2026-11379:修复了 DAST scanner 和 site profile management 中的不正确的授权问题。 - CVE-2026-8330:修复了 CI/CD API 中的过滤不足问题。 - CVE-2026-1606:修复了 Snippets 中的不正确的输入验证问题。 - CVE-2026-5952:修复了 Maven Package Registry 中的不正确的授权问题。 - CVE-2026-5796:修复了 group packages API 中的不正确的访问控制问题。 - CVE-2026-0934:修复了 Protected Environments API 中的不正确的访问控制问题。 - CVE-2026-3176:修复了 Security Dashboard 中的缺失授权问题。 - CVE-2026-12635:修复了 Repository Mirroring 中的服务器端请求伪造问题。 POC 代码或利用代码 页面中未提供具体的 POC 代码或利用代码。 总结 GitLab 发布了多个安全补丁,修复了多个严重的安全漏洞。建议所有受影响的 GitLab 安装升级到最新版本(19.1.1, 19.0.3, 18.11.6)以确保安全。