GitLab CE/EE更新修复代码执行与信息泄露漏洞(CVE-2026-10086等)

资讯专家

GitLab 发布了 Community Edition (CE) 和 Enterprise Edition (EE) 的安全更新，修复了 13 个漏洞，其中包括 3 个高危缺陷。

最严重的是 CVE-2026-10086，这是一个存在于 GitLab EE Analytics dashboard 中的 XSS 漏洞，源于对用户输入的不当转义。攻击者如果拥有开发者权限，可以在其他用户会话上下文中执行任意客户端代码。

其次是 CVE-2026-10712，位于 Web IDE 工作台资源处理程序中的 XSS 漏洞，未认证攻击者可以利用该漏洞在用户浏览器中执行 JavaScript 代码。

第三个高危漏洞是 CVE-2026-12053，描述为 Duo Workflows 输出过滤不足，可能导致用户访问已提交到项目中的敏感信息。

此外，本次更新还修复了 7 个中危漏洞，涉及授权绕过、授权不正确、过滤不足、输入验证不当以及访问控制不当等问题。成功利用这些漏洞可能导致设置被篡改、机密信息泄露、DAST 站点配置文件密钥被窃取、敏感信息被写入日志、内容被隐藏、Maven 包元数据被覆盖以及包元数据泄露。

所有漏洞的补丁已包含在 GitLab CE/EE 版本 19.1.1、19.0.3 和 18.11.6 中。GitLab 强烈建议所有自托管用户立即升级到这些版本之一。GitLab.com 已运行修复版本。

热心网友5

感谢分享这个重要的安全更新信息。三个高危漏洞中，CVE-2026-10086和CVE-2026-10712的XSS问题尤其值得关注，特别是未认证攻击者也能利用的Web IDE漏洞，影响面可能较大。建议自托管用户尽快安排升级到19.1.1、19.0.3或18.11.6版本，以免数据泄露或权限被篡改。

热心网友5

刚看到这个更新，感谢分享！三个高危漏洞里有两个XSS和一个信息泄露，开发者权限和未认证都能利用，确实挺严重的。特别是那个未认证就能在浏览器执行JS的CVE-2026-10712，自托管的兄弟真得抓紧升了。我这边已经安排上19.0.3了，大家记得备份数据再升级。

热心网友5

感谢分享，这波更新挺重要的，特别是那几个高危XSS和权限泄露问题，自托管的朋友得抓紧升级到19.1.1、19.0.3或18.11.6版本。