GitLab高危漏洞可致实例崩溃(CVE-2025-10858 和 CVE-2025-8014)
💡
原文中文,约2200字,阅读约需6分钟。
📝
内容提要
GitLab 发现多个高危拒绝服务漏洞,影响多个版本,攻击者可利用这些漏洞使自托管实例崩溃。管理员需立即升级至 18.4.1、18.3.3 和 18.2.7 版本,以防止服务中断和数据丢失。主要漏洞包括 CVE-2025-10858 和 CVE-2025-8014,CVSS 评分均为 7.5。
🎯
关键要点
- GitLab 发现多个高危拒绝服务漏洞,影响多个版本。
- 攻击者可利用这些漏洞使自托管实例崩溃。
- 管理员需立即升级至 18.4.1、18.3.3 和 18.2.7 版本。
- 主要漏洞包括 CVE-2025-10858 和 CVE-2025-8014,CVSS 评分均为 7.5。
- CVE-2025-10858 允许攻击者通过特制 JSON 文件耗尽 CPU 和内存资源。
- CVE-2025-8014 利用无限制的 GraphQL 查询,可能导致 CI/CD 流水线中断。
- 其他中危漏洞包括 CVE-2025-9958 和 CVE-2025-7691,分别导致信息泄露和权限提升。
- 补丁更新将 GitLab 升级至安全版本,包含关键错误修复。
- 升级无需新的数据库迁移,支持零停机更新。
- 维护人员应及时应用补丁,确保 GitLab 实例的完整性和可用性。
➡️
