GitLab 修补代码执行与信息泄露漏洞

GitLab 已推出 Community Edition（CE）和 Enterprise Edition（EE）安全更新，修复了 13 个漏洞，其中包括三个高严重性缺陷。

最严重的是 CVE-2026-10086，这是 GitLab EE Analytics 仪表板中的一个 XSS 漏洞，其根源在于对用户提供的输入进行了不当的消毒处理。

据 GitLab 称，该安全缺陷可能允许具有开发者权限的认证用户在他人用户的会话上下文中执行任意客户端代码。

其次是 CVE-2026-10712，Web IDE 工作台资产处理器中的一个 XSS 漏洞，可能允许未经认证的攻击者在用户浏览器会话中执行 JavaScript 代码。

第三个高严重性漏洞是 CVE-2026-12053，被描述为 Duo Workflows 中的输出过滤不足，可能允许用户访问已提交到项目中的敏感信息。

最新的 GitLab CE/EE 更新还修复了七个中严重性缺陷，包括授权绕过、错误授权、过滤不足、不当输入验证和不当访问控制问题。

成功利用这些漏洞可能导致设置被篡改、机密信息泄露、DAST 站点配置文件机密被窃取、敏感信息被写入日志、内容被隐藏、Maven 包元数据被覆盖以及包元数据泄露。

所有这些漏洞的补丁已包含在 GitLab CE/EE 版本 19.1.1、19.0.3 和 18.11.6 中。建议用户尽快更新其部署。

GitLab 指出：这些版本包含重要的错误修复和安全修复，我们强烈建议所有自管理的 GitLab 安装立即升级到这些版本之一。GitLab.com 已在运行已打补丁的版本。