GitLab發布安全更新,修補可能導致執行任意JavaScript程式碼、拒絕服務攻擊的多項重大漏洞
- 來源:iThome(ID: 484)
- URL:https://www.ithome.com.tw/news/175995
- 發布日期:2026-05-20
摘要
GitLab 發布安全更新,修補 CE/EE 版本共 25 項漏洞,包含多項可導致任意 JavaScript 執行與 DoS 攻擊的重大漏洞。
受影響版本與修補版本
- 需升級至:
18.11.3、18.10.6、18.9.7 - GitLab.com 雲端版已自動完成更新
- 建議:self-managed 用戶儘速升級
最嚴重漏洞(CVSS 8.7)
| CVE | 類型 | 受影響元件 |
|---|---|---|
| CVE-2026-7481 | XSS | 分析儀表板(Analytics dashboard)圖表 |
| CVE-2026-7377 | XSS | 分析儀表板(Analytics dashboard)圖表 |
| CVE-2026-5297 | XSS | 全域搜尋功能(Global Search) |
| CVE-2026-6073 | XSS | AI 代理 Duo Agent |
- 根本原因:輸入清理不當(improper input sanitization)
漏洞分類統計(共 25 項)
| 漏洞類型 | 數量 |
|---|---|
| 跨網站指令碼(XSS) | 6 |
| 拒絕服務(DoS) | 5 |
| 授權不當 | 5 |
| 存取控制問題 | 4 |
衍生頁面
- GitLab安全更新修補25項漏洞含XSS與DoS重大漏洞2026 — 漏洞事件概念頁
- gitlab — GitLab 實體頁