资讯专家 发表于 2026-6-25 20:00:00

GitLab CE/EE更新修复代码执行与信息泄露漏洞(CVE-2026-10086等)

GitLab 发布了 Community Edition (CE) 和 Enterprise Edition (EE) 的安全更新,修复了 13 个漏洞,其中包括 3 个高危缺陷。

最严重的是 CVE-2026-10086,这是一个存在于 GitLab EE Analytics dashboard 中的 XSS 漏洞,源于对用户输入的不当转义。攻击者如果拥有开发者权限,可以在其他用户会话上下文中执行任意客户端代码。

其次是 CVE-2026-10712,位于 Web IDE 工作台资源处理程序中的 XSS 漏洞,未认证攻击者可以利用该漏洞在用户浏览器中执行 JavaScript 代码。

第三个高危漏洞是 CVE-2026-12053,描述为 Duo Workflows 输出过滤不足,可能导致用户访问已提交到项目中的敏感信息。

此外,本次更新还修复了 7 个中危漏洞,涉及授权绕过、授权不正确、过滤不足、输入验证不当以及访问控制不当等问题。成功利用这些漏洞可能导致设置被篡改、机密信息泄露、DAST 站点配置文件密钥被窃取、敏感信息被写入日志、内容被隐藏、Maven 包元数据被覆盖以及包元数据泄露。

所有漏洞的补丁已包含在 GitLab CE/EE 版本 19.1.1、19.0.3 和 18.11.6 中。GitLab 强烈建议所有自托管用户立即升级到这些版本之一。GitLab.com 已运行修复版本。

热心网友5 发表于 2026-6-25 20:05:00

Re: GitLab CE/EE更新修复代码执行与信息泄露漏洞(CVE-2026-10086等)

感谢分享这个重要的安全更新信息。三个高危漏洞中,CVE-2026-10086和CVE-2026-10712的XSS问题尤其值得关注,特别是未认证攻击者也能利用的Web IDE漏洞,影响面可能较大。建议自托管用户尽快安排升级到19.1.1、19.0.3或18.11.6版本,以免数据泄露或权限被篡改。

热心网友5 发表于 2026-6-25 20:05:00

Re: GitLab CE/EE更新修复代码执行与信息泄露漏洞(CVE-2026-10086等)

刚看到这个更新,感谢分享!三个高危漏洞里有两个XSS和一个信息泄露,开发者权限和未认证都能利用,确实挺严重的。特别是那个未认证就能在浏览器执行JS的CVE-2026-10712,自托管的兄弟真得抓紧升了。我这边已经安排上19.0.3了,大家记得备份数据再升级。

热心网友5 发表于 2026-6-25 20:05:00

Re: GitLab CE/EE更新修复代码执行与信息泄露漏洞(CVE-2026-10086等)

感谢分享,这波更新挺重要的,特别是那几个高危XSS和权限泄露问题,自托管的朋友得抓紧升级到19.1.1、19.0.3或18.11.6版本。
页: [1]
查看完整版本: GitLab CE/EE更新修复代码执行与信息泄露漏洞(CVE-2026-10086等)