GitLab 漏洞总结 漏洞概述 GitLab 发布了多个版本(19.1.2、19.0.4、18.11.7)的补丁,修复了多个安全漏洞。这些漏洞包括跨站脚本(XSS)、HTML 注入、凭证保护不足、访问控制问题、授权问题等。 影响范围 CVE-2026-6896:跨站脚本问题,影响 GitLab EE 版本。 CVE-2026-13320:HTML 注入问题,影响 GitLab CE/EE 版本。 CVE-2026-11827:凭证保护不足问题,影响 GitLab EE 版本。 CVE-2026-8472:访问控制问题,影响 GitLab EE 版本。 CVE-2026-7492:授权问题,影响 GitLab CE/EE 版本。 CVE-2025-12506:引用歧义问题,影响 GitLab CE/EE 版本。 CVE-2026-13151:授权问题,影响 GitLab EE 版本。 CVE-2026-6352:授权问题,影响 GitLab EE 版本。 修复方案 CVE-2026-6896:GitLab 已修复在特定条件下允许经过身份验证的用户执行任意脚本的问题。 CVE-2026-13320:GitLab 已修复在 wiki 标记渲染中允许经过身份验证的用户执行任意脚本的问题。 CVE-2026-11827:GitLab 已修复在仓库镜像中允许经过身份验证的用户获取其他用户存储的凭证的问题。 CVE-2026-8472:GitLab 已修复在工项中允许经过身份验证的用户读取私有项目元数据的问题。 CVE-2026-7492:GitLab 已修复在提交讨论显示中允许未经身份验证的用户确定私有项目存在的问题。 CVE-2025-12506:GitLab 已修复在标签或分支中允许经过身份验证的用户创建内容显示与下载内容不同的仓库的问题。 CVE-2026-13151:GitLab 已修复在组级设置中允许经过身份验证的用户修改组级设置的问题。 CVE-2026-6352:GitLab 已修复在合规性违规管理中允许经过身份验证的用户修改合规性违规记录的问题。 推荐操作 强烈建议所有受影响的安装尽快升级到最新版本。 安全修复详情 CVE-2026-6896: - 影响版本:GitLab EE 所有 13.11 之前、19.0 之前、19.1 之前的版本。 - CVSS 评分:8.7 - 报告者:yivdwf CVE-2026-13320: - 影响版本:GitLab CE/EE 所有 15.7 之前、18.11.7、19.0 之前、19.1 之前的版本。 - CVSS 评分:7.3 - 报告者:youzslan 和 a_m_a_m CVE-2026-11827: - 影响版本:GitLab EE 所有 9.5 之前、18.11.7、19.0 之前、19.1 之前的版本。 - CVSS 评分:4.9 - 报告者:rogerc CVE-2026-8472: - 影响版本:GitLab EE 所有 18.9 之前、18.11.7、19.0 之前、19.1 之前的版本。 - CVSS 评分:4.3 - 报告者:go710 CVE-2026-7492: - 影响版本:GitLab CE/EE 所有 9.1 之前、18.11.7、19.0 之前、19.1 之前的版本。 - CVSS 评分:4.3 - 报告者:nathanaelhoun CVE-2025-12506: - 影响版本:GitLab CE/EE 所有 16.5 之前、18.11.7、19.0 之前、19.1 之前的版本。 - CVSS 评分:3.5 - 报告者:shells3c CVE-2026-13151: - 影响版本:GitLab EE 所有 16.10 之前、18.11.7、19.0 之前、19.1 之前的版本。 - CVSS 评分:2.7 - 报告者:GitLab 团队成员 zli CVE-2026-6352: - 影响版本:GitLab EE 所有 18.2 之前、18.11.7、19.0 之前、19.1 之前的版本。 - CVSS 评分:2.7 - 报告者:amarversia 升级注意事项 单节点实例:升级过程中会有停机时间。 多节点实例:使用适当的零停机升级程序,可以无停机升级。 升级后迁移 19.1.2 和 19.0.4 版本包含升级后可运行的迁移。 更多信息 零停机升级:适用于多节点部署。 标准升级:适用于单节点安装。 总结 GitLab 发布了多个版本的补丁,修复了多个安全漏洞,强烈建议所有受影响的安装尽快升级到最新版本。