| 風險等級: |
高度威脅 |
| 摘 要: |
弱點通告:GitLab 近日發布更新以修補多項高風險漏洞,建議請管理者儘速評估更新! |
| 影響系統: |
GitLab Community Edition (CE) and Enterprise Edition (EE) 18.7.1 之前的版本GitLab Community Edition (CE) and Enterprise Edition (EE) 18.6.3 之前的版本GitLab Community Edition (CE) and Enterprise Edition (EE) 18.5.5 之前的版本 |
| 解決辦法: |
請管理者參考 GitLab 官方建議評估是否更新到最新版本:
1. GitLab Community Edition (CE) and Enterprise Edition (EE) 18.7.1 (含)以上版本
2. GitLab Community Edition (CE) and Enterprise Edition (EE) 18.6.3 (含)以上版本
3. GitLab Community Edition (CE) and Enterprise Edition (EE) 18.5.5 (含)以上版本 |
| 細節描述: |
CVE-2025-9222 : CVSS 8.7
此弱點可讓攻擊者濫用GitLab Flavored Markdown標記語言的占位符(Placeholders)機制,發動儲存型跨站指令碼攻擊。
CVE-2025-13761 : CVSS 8.0
此漏洞影響Web IDE,可能讓未經身分驗證的攻擊者,誘使使用者造訪特製網頁,在其瀏覽器中執行任意指令碼。
CVE-2025-13772 : CVSS 7.0
該漏洞可能允許已認證使用者透過操縱 API 請求中的命名空間標識符,從未經授權的命名空間存取和使用 AI 模型設定。
CVE-2025-13781 : CVSS 6.5
該漏洞允許已認證使用者利用 GraphQL mutation 中缺少的授權檢查來修改實例範圍的 AI 功能提供者設定。
CVE-2025-10569 : CVSS 6.5
該漏洞允許已認證使用者透過向外部 API 呼叫提供精心特製的回應來造成資源耗盡的情況。
CVE-2025-11246 : CVSS 5.4
該漏洞允許具有特定權限的已認證使用者透過操縱 GraphQL 運行器關聯來移除不相關專案的Runner資源。
CVE-2025-3950 : CVSS 3.5
該漏洞造成攻擊者可繞過資產代理防護的特製圖片,洩露敏感連線資訊。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
iThome
GitLab
|
| |
