GitLab 修复了新的 CE 和 EE 更新中的 15 个安全漏洞

GitLab 已发布安全更新针对社区版和企业版，修复了18.9.2、18.8.6和18.7.6版本中的15个漏洞。该公司表示，自我管理的管理员应该尽快升级，而 GitLab.com 和 GitLab Dedicated 已经运行了修补后的代码。

这其中最严重的问题版本号为 CVE-2026-1090，一个高严重性的跨站点脚本缺陷，CVSS 评分为 8.7。 GitLab 表示，当启用 Markdown 占位符功能标志时，该错误会影响 Markdown 占位符处理，并且可能允许经过身份验证的攻击者将恶意 JavaScript 注入受害者的浏览器中。

该更新还修复了多个拒绝服务错误，包括 CVSS 7.5 分数的三个高严重性问题。GitLab 表示其中之一会影响GraphQL API 通过不受控制的递归，另一个攻击存储库存档端点，第三个通过特制的 JSON 有效负载影响受保护的分支 API。

这使得 2026 年 3 月的 GitLab 版本对于安全性和正常运行时间都很重要。其中一些缺陷可能会让攻击者在未经身份验证的情况下使暴露的服务崩溃，而另一些缺陷可能会在特定条件下启用基于浏览器的攻击或未经授权的数据访问。

来源：GitLab 补丁发布公告。

咨询中的关键细节

GitLab 表示 CVE-2026-1090 会影响18.7.6 之前的 10.6、18.8.6 之前的 18.8 和 18.9.2 之前的 18.9 的所有版本。该公司将该报告归功于 HackerOne 研究人员，并指出该缺陷仅在启用 Markdown 占位符功能标志时才会出现。

对于 API 和服务可用性错误，GitLab 表示 CVE-2026-1069可以允许未经身份验证的用户通过特制的 GraphQL 请求触发拒绝服务，CVE-2025-13929 可以命中存储库存档端点，而 CVE-2025-14513 会影响受保护的分支 API。在 GitLab 的公告中，这三者都具有相同的 7.5 CVSS 评级。

该版本还修复了 XSS 和 DoS 之外的几个严重程度较低的问题。其中包括导入功能中与 CRLF 相关的内部请求风险、运行程序 API 中的不当访问控制、通过片段呈现的元数据泄露、机密问题标题泄露以及 GitLab EE 虚拟注册表中的授权问题。

管理员现在应该做什么

• 将自我管理的 GitLab CE 或 EE 实例升级到 18.9.2、18.8.6 或 18.7.6。
• 预计升级到 18.9.2 和 18.8.6 期间会定期迁移。
• 使用 GitLab 的零停机升级指南进行多节点部署。
• 使用单节点安装的标准升级指南，这可能会导致短暂的停机。
• GitLab.com 和 GitLab Dedicated 用户无需采取任何操作，因为 GitLab 表示这些服务已经打了补丁。

为什么此版本脱颖而出

这不仅仅是一次小的维护更新。 GitLab 将一组相对较大的修复捆绑到一个补丁版本中，其中包括浏览器端 XSS、未经身份验证的服务中断风险和数据暴露问题。对于运行自我管理的 GitLab 作为核心开发平台的组织来说，修补延迟可能会影响安全性和开发人员的工作效率。

该通报还显示了 GitLab 受影响的版本范围有多么广泛。许多版本中都存在一些缺陷，这意味着旧的自我管理部署可能会一直暴露在管理员安装修补版本之一之前。

FAQ