GitLab高危漏洞可致实例崩溃(CVE-2025-10858 和 CVE-2025-8014)
💡
原文中文,约2200字,阅读约需6分钟。
📝
内容提要
GitLab 发现多个高危拒绝服务漏洞,影响多个版本,攻击者可利用这些漏洞使自托管实例崩溃。管理员需立即升级至 18.4.1、18.3.3 和 18.2.7 版本,以防止服务中断和数据丢失。主要漏洞包括 CVE-2025-10858 和 CVE-2025-8014,CVSS 评分均为 7.5。
🎯
关键要点
- GitLab 发现多个高危拒绝服务漏洞,影响多个版本。
- 攻击者可利用这些漏洞使自托管实例崩溃。
- 管理员需立即升级至 18.4.1、18.3.3 和 18.2.7 版本。
- 主要漏洞包括 CVE-2025-10858 和 CVE-2025-8014,CVSS 评分均为 7.5。
- CVE-2025-10858 允许攻击者通过特制 JSON 文件耗尽 CPU 和内存资源。
- CVE-2025-8014 利用无限制的 GraphQL 查询,可能导致 CI/CD 流水线中断。
- 其他中危漏洞包括 CVE-2025-9958 和 CVE-2025-7691,分别导致信息泄露和权限提升。
- 补丁更新将 GitLab 升级至安全版本,包含关键错误修复。
- 升级无需新的数据库迁移,支持零停机更新。
- 维护人员应及时应用补丁,确保 GitLab 实例的完整性和可用性。
❓
延伸问答
GitLab存在哪些高危漏洞?
GitLab 存在 CVE-2025-10858 和 CVE-2025-8014 两个高危拒绝服务漏洞,CVSS 评分均为 7.5。
如何防止GitLab实例崩溃?
管理员需立即将 GitLab 升级至 18.4.1、18.3.3 或 18.2.7 版本,以防止服务中断和数据丢失。
CVE-2025-10858漏洞的攻击方式是什么?
CVE-2025-10858 漏洞允许攻击者通过特制的 JSON 文件耗尽 CPU 和内存资源,导致服务器无响应。
CVE-2025-8014漏洞会造成什么影响?
CVE-2025-8014 漏洞利用无限制的 GraphQL 查询,可能导致 CI/CD 流水线中断。
升级GitLab是否需要数据库迁移?
升级 GitLab 不需要新的数据库迁移,支持零停机更新。
除了高危漏洞,还有哪些中危漏洞?
中危漏洞包括 CVE-2025-9958 和 CVE-2025-7691,分别导致信息泄露和权限提升。
➡️
