GitLab紧急修复两个高危漏洞,敦促用户立即更新
字数 2757 2025-09-23 19:27:46

GitLab 高危漏洞分析与修复指南

文档概述

本文档基于 GitLab 官方于 2025 年 9 月发布的紧急安全更新通告撰写。旨在详细解析此次修复的关键安全漏洞(CVE)、其影响范围、潜在风险,并为系统管理员提供清晰的修复方案和缓解建议。所有信息均提取自提供的链接内容。

1. 漏洞摘要

GitLab 在其社区版(CE)和企业版(EE)中修复了多个安全漏洞,其中包含两个高危(High Severity)漏洞。这些漏洞可导致服务拒绝(DoS)、数据泄露和服务器端请求伪造(SSRF)。官方强烈建议所有自托管(Self-hosted)实例立即升级至安全版本。

2. 高危漏洞详情

2.1 CVE-2025-2256: SAML 响应拒绝服务漏洞

  • 漏洞描述: 这是一个存在于 SAML 身份验证组件中的缺陷。未经身份验证的远程攻击者可通过同时向目标 GitLab 实例发送多个特制的大型 SAML 响应,耗尽服务器资源(如CPU、内存),从而导致服务完全无响应(Denial of Service)。
  • CVSS 评分: 7.5 (高危)
  • 攻击复杂度: 低,无需认证即可利用。
  • 受影响版本:
    • GitLab CE/EE 7.12 至 18.1.6 之前的所有版本
    • GitLab CE/EE 18.2 至 18.2.6 之前的所有版本
    • GitLab CE/EE 18.3 至 18.3.2 之前的所有版本
  • 风险: 可利用此漏洞轻易中断企业内部的 GitLab 服务,影响正常的代码协作和CI/CD流程。

2.2 CVE-2025-6454: Webhook 自定义标头 SSRF 漏洞

  • 漏洞描述: 这是一个服务器端请求伪造(SSRF)漏洞。存在于 Webhook 的自定义 HTTP 标头配置功能中。经过身份验证的攻击者可以通过注入精心构造的恶意序列到 webhook 的自定义标头中,在代理环境下(如 Kubernetes 集群内)让 GitLab 实例向非预期的内部系统(如元数据服务、内部API)发起 HTTP 请求。
  • CVSS 评分: 8.5 (高危)
  • 攻击前提: 攻击者需要拥有一个有效的 GitLab 账户并通过认证。
  • 受影响版本:
    • GitLab CE/EE 16.11 至 18.1.6 之前的所有版本
    • GitLab CE/EE 18.2 至 18.2.6 之前的所有版本
    • GitLab CE/EE 18.3 至 18.3.2 之前的所有版本
  • 风险: 成功利用可导致敏感内部网络信息泄露、绕过网络边界策略,甚至可能攻击内网中其他脆弱的服务。

3. 其他安全修复

此次更新还包含了以下中危(Medium Severity)和低危(Low Severity)漏洞的修复:

3.1 拒绝服务类漏洞

  1. CVE-2025-1250: 用户可控字段 DoS

    • 描述: 通过在提交信息、合并请求描述或注释等用户可控字段中提交特制内容,可导致 GitLab 的后台作业(Background Jobs)处理停滞。
    • CVSS: 6.5
    • 影响版本: 15.0 至修复版本之前的所有版本。

  2. CVE-2025-7337: 端点文件上传 DoS

    • 描述: 拥有开发者(Developer)级别或更高权限的认证用户,可通过上传特制的大文件,造成目标 GitLab 实例持续性的拒绝服务。
    • CVSS: 6.5
    • 影响版本: 7.8 至修复版本之前的所有版本。

  3. CVE-2025-10094: 令牌列表操作 DoS

    • 描述: 认证用户可通过创建名称过大的令牌(Token),中断管理员的管理操作访问(例如无法正常查看令牌列表)。
    • CVSS: 6.5
    • 影响版本: 10.7 至修复版本之前的所有版本。

3.2 信息泄露漏洞

  • CVE-2025-6769: 运行器端点信息泄露
    • 描述: 认证用户可以通过特定的界面访问运行器(Runner)详情,从而查看到本应仅限管理员(Admin)查看的维护说明等敏感信息。
    • CVSS: 4.3
    • 影响版本: 15.1 至修复版本之前的所有版本。

4. 修复与缓解方案

4.1 立即升级(官方强烈建议)

这是最根本、最有效的解决方案。请根据您当前运行的版本分支,升级至对应的安全版本:

您当前的版本分支 应升级至的安全版本
18.3.x 18.3.2
18.2.x 18.2.6
18.1.x 及更早的版本 18.1.6

升级前务必查阅官方升级文档,并对实例数据和配置进行完整备份

4.2 临时缓解措施(如果无法立即升级)

对于无法立即安排升级的环境,可考虑以下针对性缓解措施:

  • 针对 CVE-2025-2256 (SAML DoS):

    • 在 GitLab 实例前部署Web应用防火墙(WAF),并配置规则以限制或拦截异常频繁、过大的 POST 请求(特别是发送到 /users/auth/saml/callback 等SAML回调地址的请求)。
    • 检查并加固网络层的速率限制(Rate Limiting) 策略。

  • 针对 CVE-2025-6454 (Webhook SSRF):

    • 严格权限控制: 遵循最小权限原则,仅授予用户所必需的最小权限。审查并减少拥有创建或修改 Webhook 权限的账户数量。
    • 网络隔离: 确保 GitLab 实例所在的主机或容器处于一个受限的网络策略中,无法随意访问其所在环境以外的敏感内部系统(如 AWS/Azure/GCP 的元数据服务 169.254.169.254 等)。

  • 针对其他 DoS 漏洞 (CVE-2025-1250, 7337, 10094):

    • 加强对用户输入内容的审查和过滤。
    • 实施严格的资源配额管理,例如限制单个用户上传文件的大小。

5. 参考来源

  • GitLab 官方安全发布页: (请访问 GitLab 官网查看相关版本发布说明)
  • 原始通告: GitLab紧急修复两个高危漏洞,敦促用户立即更新 - FreeBuf

免责声明: 本文档提供的技术信息仅供参考,不构成任何专业安全建议。读者应根据自身实际情况谨慎操作,并遵守《中华人民共和国网络安全法》等相关法律法规。文档作者及发布平台不对因使用本文信息而导致的任何直接或间接损失负责。

GitLab 高危漏洞分析与修复指南 文档概述 本文档基于 GitLab 官方于 2025 年 9 月发布的紧急安全更新通告撰写。旨在详细解析此次修复的关键安全漏洞(CVE)、其影响范围、潜在风险,并为系统管理员提供清晰的修复方案和缓解建议。所有信息均提取自提供的链接内容。 1. 漏洞摘要 GitLab 在其社区版(CE)和企业版(EE)中修复了多个安全漏洞,其中包含两个高危(High Severity)漏洞。这些漏洞可导致服务拒绝(DoS)、数据泄露和服务器端请求伪造(SSRF)。官方强烈建议所有自托管(Self-hosted)实例立即升级至安全版本。 2. 高危漏洞详情 2.1 CVE-2025-2256: SAML 响应拒绝服务漏洞 漏洞描述 : 这是一个存在于 SAML 身份验证组件中的缺陷。未经身份验证的远程攻击者可通过 同时向目标 GitLab 实例发送多个特制的大型 SAML 响应 ,耗尽服务器资源(如CPU、内存),从而导致服务完全无响应(Denial of Service)。 CVSS 评分 : 7.5 (高危) 攻击复杂度 : 低,无需认证即可利用。 受影响版本 : GitLab CE/EE 7.12 至 18.1.6 之前的所有版本 GitLab CE/EE 18.2 至 18.2.6 之前的所有版本 GitLab CE/EE 18.3 至 18.3.2 之前的所有版本 风险 : 可利用此漏洞轻易中断企业内部的 GitLab 服务,影响正常的代码协作和CI/CD流程。 2.2 CVE-2025-6454: Webhook 自定义标头 SSRF 漏洞 漏洞描述 : 这是一个服务器端请求伪造(SSRF)漏洞。存在于 Webhook 的自定义 HTTP 标头配置功能中。 经过身份验证的攻击者 可以通过注入精心构造的恶意序列到 webhook 的自定义标头中,在代理环境下(如 Kubernetes 集群内)让 GitLab 实例向非预期的内部系统(如元数据服务、内部API)发起 HTTP 请求。 CVSS 评分 : 8.5 (高危) 攻击前提 : 攻击者需要拥有一个有效的 GitLab 账户并通过认证。 受影响版本 : GitLab CE/EE 16.11 至 18.1.6 之前的所有版本 GitLab CE/EE 18.2 至 18.2.6 之前的所有版本 GitLab CE/EE 18.3 至 18.3.2 之前的所有版本 风险 : 成功利用可导致敏感内部网络信息泄露、绕过网络边界策略,甚至可能攻击内网中其他脆弱的服务。 3. 其他安全修复 此次更新还包含了以下中危(Medium Severity)和低危(Low Severity)漏洞的修复: 3.1 拒绝服务类漏洞 CVE-2025-1250: 用户可控字段 DoS 描述 : 通过在提交信息、合并请求描述或注释等用户可控字段中提交特制内容,可导致 GitLab 的后台作业(Background Jobs)处理停滞。 CVSS : 6.5 影响版本 : 15.0 至修复版本之前的所有版本。 CVE-2025-7337: 端点文件上传 DoS 描述 : 拥有 开发者(Developer)级别或更高权限 的认证用户,可通过上传特制的大文件,造成目标 GitLab 实例持续性的拒绝服务。 CVSS : 6.5 影响版本 : 7.8 至修复版本之前的所有版本。 CVE-2025-10094: 令牌列表操作 DoS 描述 : 认证用户可通过创建名称过大的令牌(Token),中断管理员的管理操作访问(例如无法正常查看令牌列表)。 CVSS : 6.5 影响版本 : 10.7 至修复版本之前的所有版本。 3.2 信息泄露漏洞 CVE-2025-6769: 运行器端点信息泄露 描述 : 认证用户可以通过特定的界面访问运行器(Runner)详情,从而查看到本应 仅限管理员(Admin)查看的维护说明 等敏感信息。 CVSS : 4.3 影响版本 : 15.1 至修复版本之前的所有版本。 4. 修复与缓解方案 4.1 立即升级(官方强烈建议) 这是最根本、最有效的解决方案。请根据您当前运行的版本分支,升级至对应的安全版本: | 您当前的版本分支 | 应升级至的安全版本 | | :----------------------- | :----------------------- | | 18.3.x | 18.3.2 | | 18.2.x | 18.2.6 | | 18.1.x 及更早的版本 | 18.1.6 | 升级前务必查阅官方升级文档 ,并 对实例数据和配置进行完整备份 。 4.2 临时缓解措施(如果无法立即升级) 对于无法立即安排升级的环境,可考虑以下针对性缓解措施: 针对 CVE-2025-2256 (SAML DoS) : 在 GitLab 实例前部署 Web应用防火墙(WAF) ,并配置规则以限制或拦截异常频繁、过大的 POST 请求(特别是发送到 /users/auth/saml/callback 等SAML回调地址的请求)。 检查并加固网络层的 速率限制(Rate Limiting) 策略。 针对 CVE-2025-6454 (Webhook SSRF) : 严格权限控制 : 遵循最小权限原则,仅授予用户所必需的最小权限。审查并减少拥有创建或修改 Webhook 权限的账户数量。 网络隔离 : 确保 GitLab 实例所在的主机或容器处于一个受限的网络策略中,无法随意访问其所在环境以外的敏感内部系统(如 AWS/Azure/GCP 的元数据服务 169.254.169.254 等)。 针对其他 DoS 漏洞 (CVE-2025-1250, 7337, 10094) : 加强对用户输入内容的审查和过滤。 实施严格的资源配额管理,例如限制单个用户上传文件的大小。 5. 参考来源 GitLab 官方安全发布页: (请访问 GitLab 官网查看相关版本发布说明) 原始通告: GitLab紧急修复两个高危漏洞,敦促用户立即更新 - FreeBuf 免责声明 : 本文档提供的技术信息仅供参考,不构成任何专业安全建议。读者应根据自身实际情况谨慎操作,并遵守《中华人民共和国网络安全法》等相关法律法规。文档作者及发布平台不对因使用本文信息而导致的任何直接或间接损失负责。