GitLab 安全更新:修補 25 項漏洞含 XSS 與 DoS 重大漏洞(2026-05-20)
概述
GitLab 於 2026 年 5 月 20 日發布安全更新,修補 CE/EE 版本共 25 項漏洞,包含多項 CVSS 8.7 的跨網站指令碼(XSS)漏洞與拒絕服務(DoS)漏洞。Self-managed 用戶須儘速升級至修補版本。
修補版本
18.11.318.10.618.9.7
GitLab.com 雲端版已自動更新,self-managed 用戶須手動升級。
關鍵 CVE(CVSS 8.7)
| CVE | 類型 | 受影響元件 |
|---|---|---|
| CVE-2026-7481 | XSS | Analytics dashboard 圖表 |
| CVE-2026-7377 | XSS | Analytics dashboard 圖表 |
| CVE-2026-5297 | XSS | Global Search 全域搜尋 |
| CVE-2026-6073 | XSS | AI 代理 Duo Agent |
- 根本原因:輸入清理不當(improper input sanitization)
漏洞分類統計(共 25 項)
| 類型 | 數量 |
|---|---|
| XSS | 6 |
| DoS | 5 |
| 授權不當 | 5 |
| 存取控制 | 4 |
影響與建議
- 攻擊者可利用 XSS 漏洞在受害者瀏覽器執行任意 JavaScript,竊取 Session、繞過 CSP
- DoS 漏洞可導致服務中斷
- GitLab Duo Agent(AI 功能)亦受 XSS 影響,AI 整合帶來新攻擊面
- 建議立即升級,尤其 self-managed 實例
來源文章
相關頁面
- gitlab — GitLab 平台實體