GitLab 安全更新:修補 25 項漏洞含 XSS 與 DoS 重大漏洞(2026-05-20)

概述

GitLab 於 2026 年 5 月 20 日發布安全更新,修補 CE/EE 版本共 25 項漏洞,包含多項 CVSS 8.7 的跨網站指令碼(XSS)漏洞與拒絕服務(DoS)漏洞。Self-managed 用戶須儘速升級至修補版本。

修補版本

  • 18.11.3
  • 18.10.6
  • 18.9.7

GitLab.com 雲端版已自動更新,self-managed 用戶須手動升級。

關鍵 CVE(CVSS 8.7)

CVE類型受影響元件
CVE-2026-7481XSSAnalytics dashboard 圖表
CVE-2026-7377XSSAnalytics dashboard 圖表
CVE-2026-5297XSSGlobal Search 全域搜尋
CVE-2026-6073XSSAI 代理 Duo Agent
  • 根本原因:輸入清理不當(improper input sanitization)

漏洞分類統計(共 25 項)

類型數量
XSS6
DoS5
授權不當5
存取控制4

影響與建議

  • 攻擊者可利用 XSS 漏洞在受害者瀏覽器執行任意 JavaScript,竊取 Session、繞過 CSP
  • DoS 漏洞可導致服務中斷
  • GitLab Duo Agent(AI 功能)亦受 XSS 影響,AI 整合帶來新攻擊面
  • 建議立即升級,尤其 self-managed 實例

來源文章

相關頁面

  • gitlab — GitLab 平台實體