热门资讯

GitLab发布紧急安全更新修复高危XSS与API拒绝服务漏洞

互联网来源：安全客 2026-03-19 15:55:04

GitLab 面向社区版（CE）与企业版（EE）发布关键安全更新，涉及版本 18.9.2、18.8.6、18.7.6。此次紧急补丁修复了多处高危漏洞，可防范账号被盗、服务中断与未授权数据篡改等风险。

本次更新重点修复四项高危漏洞，未升级环境将面临严重威胁：

CVE-2026-1090（CVSS 8.7）

Markdown 占位符处理过程中存在跨站脚本漏洞（XSS）。攻击者可利用该漏洞在其他用户会话中执行恶意脚本。

CVE-2026-1069（CVSS 7.5）

GraphQL API 存在拒绝服务漏洞。攻击者可通过构造请求耗尽 API 资源，导致服务对全体用户不可用。

CVE-2025-13929（CVSS 7.5）

代码仓库归档接口存在独立的拒绝服务漏洞，可被用于阻止用户下载或归档项目代码。

CVE-2025-14513（CVSS 7.5）

负责管理保护分支（保障代码完整性的核心安全功能）的 API 同样存在拒绝服务漏洞。

除高危威胁外，GitLab 安全团队同时修复了多项中低危漏洞，全面强化平台安全：

Webhook 相关漏洞：修复自定义请求头与接口处两处独立拒绝服务问题。

访问控制与权限：修复 Runner API、代码片段渲染中的权限控制不当，以及群组导入功能缺失授权校验问题。

信息泄露：修复可导致无权限问题信息泄露的漏洞。

数据完整性与凭证：修复可能泄露 API 密钥的 Datadog 集成问题，以及分支引用校验错误导致下载代码异常的缺陷。

虚拟仓库泄露：修复企业版虚拟仓库权限不当问题，该问题曾允许非群组成员访问相关数据。

GitLab 在官方安全公告中表示：我们强烈建议所有自建部署的 GitLab 实例立即升级至上述版本。

管理员应核对当前版本，并升级至 18.9.2、18.8.6 或 18.7.6 以彻底缓解风险。

延伸阅读

DeepWiki-Open将GitHub或GitLab仓库一键转为交互式Wiki

DeepWiki-Open 是由 AsyncFuncAI 开发的开源工具，主打 AI 驱动的代码分析和自动化文档生成。它将 GitHub 或 GitLab 仓库一键转为交互式 Wiki，生成结构化文档
Debian系统中GitLab的日志管理怎么做

在debian系统中，gitlab的日志管理可以通过以下几种方式进行：使用 gitlab-ctl 命令查看日志gitlab-ctl 是GitLab提供的一个命令行工具，可以用来管理GitLab的各种服
Debian系统中GitLab的用户权限如何设置

在debian系统中，为gitlab设置用户权限需要遵循以下步骤：安装GitLab：首先，确保你已经在Debian系统上安装了GitLab。如果还没有安装，请按照官方文档的说明进行操作。创建新用户：

关注公众号：拾黑（shiheibook）了解更多

友情链接：

*文章为作者独立观点，不代表文娱排行榜立场

本文由陈老湿发表，转载此文章须经作者同意，并请附上出处( 文娱排行榜 )及本页链接。

原文链接 https ://www.yaorank.com/news/net/36054.html

GitLab 安全客 CVE-2026-1090 CVE-2026-1069 CVE-2025-13929 CVE-2025-14513