發布編號：OIS-CTI-2026-01-002

情資來源：iThome、GitLab、CyberSecurityNews、HKCERT

事件類型：漏洞警訊公告

內容說明：

程式碼代管與 DevOps 平臺 GitLab 於 2026 年 1 月 7 日發布 18.7.1、18.6.3 與 18.5.5 版本，修正多項資安漏洞，涵蓋XSS、授權檢查缺失、DoS與資訊洩露等風險。其中部分漏洞風險評分達高風險等級，可能影響 GitLab 多項核心功能與平臺存取控制機制。官方強烈建議採用自管部署的用戶儘速升級以降低風險，GitLab.com 已完成更新，GitLab Dedicated 用戶則不受影響。

 圖片來源：ithome

本次修補的高風險漏洞中，最嚴重的是 CVE-2025-9222（CVSS 8.7），此為儲存型跨站指令碼漏洞，攻擊者可濫用 GitLab Flavored Markdown 標記語言的占位符機制，透過注入惡意指令碼，在其他使用者瀏覽受影響內容時於其瀏覽器中執行，可能導致未經授權存取敏感資訊、工作階段劫持、憑證竊取，或將惡意軟體散布給其他 GitLab 使用者。另一項高風險 XSS 漏洞 CVE-2025-13761（CVSS 8.0）則影響 Web IDE，未經身分驗證的攻擊者可誘使使用者造訪特製網頁，在其瀏覽器中執行任意指令碼，進而劫持工作階段並取得未經授權的程式碼儲存庫存取權限。

另有多項漏洞涉及授權檢查不足問題。CVE-2025-13772（CVSS 7.1）影響 Duo Workflows API，已通過身分驗證的使用者可透過操控 API 請求中的命名空間識別碼，存取或利用未經授權的 AI 模型設定。CVE-2025-13781（CVSS 6.5）則涉及 AI GraphQL 突變，攻擊者可利用缺少授權檢查的漏洞，修改整個 GitLab 執行個體層級的 AI 功能供應商設定，這兩項漏洞的影響範圍以 GitLab EE 為主。此外，CVE-2025-10569（CVSS 6.5）為與匯入功能相關的拒絕服務漏洞，已通過身分驗證的使用者可藉由對外部 API 呼叫提供特製回應，使系統資源耗盡。CVE-2025-11246（CVSS 5.4）則是 GraphQL runnerUpdate 突變的存取控制粒度不足，可能讓具備特定權限的使用者移除不相關專案的 Runner 資源。另有一項低風險漏洞 CVE-2025-3950（CVSS 3.5）與 Mermaid 圖表渲染機制有關，攻擊者可能透過可繞過資產代理防護的特製圖片，洩露敏感連線資訊。

本次修補涵蓋多數自管環境，包含 Omnibus 套件、原始碼安裝與 Helm Chart 等部署方式。受影響版本包含 GitLab 社群版（CE）與企業版（EE）多個歷史版本分支，最早可回溯至 8.x 與 10.x 系列。單節點環境在升級期間可能因資料庫遷移而需要短暫停機，多節點環境則可依循 GitLab 提供的零停機升級流程進行更新。

影響平台：

• 受影響版本：18.5.5、18.6.3、18.7.1 之前的版本

• 包含 Omnibus 套件、原始碼安裝與 Helm Chart的自管部署環境

• GitLab.com 已完成更新，GitLab Dedicated 用戶不受影響

建議措施：

• 立即升級至版本：18.7.1、18.6.3 或 18.5.5

• 檢視官方文件所列的資安最佳實務，強化對外存取防護設定

• 針對涉及 Markdown、Web IDE、AI 相關功能與匯入流程的異常活動加強監控

參考連結 ：

https://www.ithome.com.tw/news/173259

https://about.gitlab.com/releases/2026/01/07/patch-release-gitlab-18-7-1-released/

https://cybersecuritynews.com/gitlab-code-execution-vulnerabilities/

https://www.hkcert.org/security-bulletin/gitlab-multiple-vulnerabilities_20260108