北京
5月13日,GitLab发布了一轮紧急安全更新。这次不是例行维护,而是针对多个高危漏洞的危机响应。如果你管理的是自托管GitLab实例,补丁已经从"待办事项"变成了"立即执行"。
这批漏洞最危险的地方在于双重打击:既能悄无声息地劫持用户会话,又能从外部直接瘫痪整个开发流水线。
XSS漏洞:藏在仪表盘里的后门
CVE-2026-7481和CVE-2026-5297属于存储型跨站脚本攻击漏洞。攻击者可以将恶意JavaScript注入到分析仪表盘和全局搜索框中。
当开发者正常浏览这些页面时,脚本自动执行。攻击者借此获得会话劫持能力,能够窃取敏感令牌,甚至以认证用户的身份操作代码仓库。整个过程对受害者完全透明。
无认证DoS:不需要账号就能打垮你
更令人警惕的是CVE-2026-1659和CVE-2025-14870。这两个漏洞的特殊之处在于零门槛——攻击者无需任何账号或凭证。
通过向CI/CD作业更新API或Duo Workflows API发送大量特制请求,匿名攻击者就能迅速耗尽系统资源。结果是开发团队无法推送更新、部署代码或管理内部工作流,整个DevOps体系陷入瘫痪。
谁需要立即行动
GitLab的云托管版本已完成修复。这次威胁明确指向自管理的社区版(CE)和企业版(EE)服务器。
管理员必须将系统升级至以下版本之一:
• 18.11.3
• 18.10.6
• 18.9.7
升级注意事项
单节点实例需要预留停机窗口——关键数据库迁移必须在GitLab重启前完成。多节点环境则可通过标准部署流程实现零停机升级。
漏洞细节已公开,利用代码的出现只是时间问题。对于依赖GitLab托管核心代码资产的企业,这48小时的窗口期可能是安全与事故的分界线。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
