在 2025 年 6 月 12 日，GitLab 发布了针对其社区版（CE）和企业版（EE）的紧急安全更新，解决了一系列影响自我管理安装的高危漏洞。新发布的版本——18.0.2、17.11.4 和 17.10.8，包含关键的修复程序，强烈建议管理员立即进行升级。GitLab 在其公告中提醒：“我们强烈建议所有自我管理的 GitLab 安装立即升级到这些版本之一。”

在此次更新中修复的最严重漏洞之一是 CVE-2025-4278，这是一个影响 GitLab 搜索页面的 HTML 注入漏洞。在特定情况下，攻击者可以注入恶意 HTML 内容，从而实现帐户接管。该漏洞影响所有版本的 GitLab CE/EE，从 18.0 及之前版本开始，直到 18.0.2。公告中指出：“GitLab 已经修复了一个问题，在某些情况下，成功的攻击者可能通过在搜索页面注入代码来达到帐户接管的目的。”

此外，GitLab 还修复了 CVE-2025-2254，这是一种位于代码片段查看器中的跨站脚本（XSS）漏洞。该缺陷使攻击者能够在另一合法用户的上下文中运行恶意脚本，可能导致会话劫持或数据盗窃。此漏洞影响 GitLab CE/EE 版本，版本范围为 17.9 到不包括 17.10.8、17.11.4 和 18.0.2。

另一个独特的重大问题针对 GitLab Ultimate EE，修复了 CVE-2025-5121。该漏洞允许已认证的攻击者将恶意 CI/CD 作业注入受影响 GitLab 实例中的所有未来项目的管道中。它影响 GitLab Ultimate EE 版本，从 17.11 至 17.11.4 和从 18.0 至 18.0.2。

GitLab 还修复了几个会造成服务中断（DoS）的漏洞，这些漏洞可能允许攻击者干扰服务。其中包括：

• CVE-2025-0673：无限重定向循环导致内存耗尽。
• CVE-2025-1516：无界Webhook令牌名称。
• CVE-2025-1478：超大规模看板名称。
• CVE-2025-5996：恶意第三方组件。

每个漏洞都可能导致合法用户无法访问 GitLab 实例，尤其是在高可用性环境中。其他显著的修复包括：

• CVE-2024-9512：通过辅助节点同步延迟泄露信息。
• CVE-2025-5195：授权绕过，导致敏感合规数据泄露。
• CVE-2025-5982：组级 IP 限制绕过。

管理员应立即升级到 18.0.2，17.11.4 或 17.10.8。这些补丁针对的漏洞影响了 GitLab 从 2.1.0 版本起的多个版本。

GitLab 的这次安全更新，再次突显了信息安全在软件开发和管理中的重要性。由于许多企业依赖 GitLab 等平台来协作开发，他们必须优先考虑软件的安全性，及时安装补丁是确保系统安全的有效措施。要实现这一点，企业不仅要依赖报告信息来更新，而更应构建完备的安全策略，保障代码库和用户帐户的安全。

从更广泛的角度来看，信息安全不仅仅是IT团队的责任，还需要所有员工的共同参与。对于那些在使用 GitLab 进行项目管理和软件开发的组织，保持更新和关注安全警告是有效防止网络攻击的关键一步。利用最新版本的软件，通过右侧的配置选项和权限设置，可以最大限度地减少潜在的安全风险。

随着网络攻击技术的不断演进，企业需要保持警惕，不断更新其信息安全策略、提高员工的安全意识，并重视软件及其更新的重要性，确保其系统的安全。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课