本分分享极狐GitLab 补丁版本 18.2.1, 18.1.3, 18.0.5 的详细内容。这几个版本包含重要的缺陷和安全修复代码,我们强烈建议所有私有化部署用户应该立即升级到上述的某一个版本。对于极狐GitLab SaaS,技术团队已经进行了升级,无需用户采取任何措施。
极狐GitLab 正式推出面向 GitLab 老旧版本的专业升级服务,专业技术人员为 GitLab 版本升级提供企业级服务,让企业业务畅行无忧!
漏洞详情
| 漏洞标题 | 严重等级 | CVE ID |
|---|---|---|
| 跨站点脚本(XSS)问题影响 GitLab JH/EE/CE 中的 k8s 代理 | 高危 | CVE-2025-4700 |
| 跨站点脚本(XSS)问题影响使用 CDN 的 GitLab JH/EE/CE 中的k8s 代理 | 高危 | CVE-2025-4439 |
| 向未认证用户披露敏感信息的问题影响 GitLab JH/EE/CE | 中等 | CVE-2025-7001 |
| 向未认证用户披露敏感信息的问题影响 GitLab JH/EE/CE | 中等 | CVE-2025-0765 |
| 不正确的访问控制问题影响 GitLab JH/EE | 中等 | CVE-2025-1299 |
CVE-2025-4700
在特定条件下,可能会导致允许攻击者成功触发非期望的内容渲染从而导致 XSS 问题,进而影响 Kubernetes 代理。影响从 15.10 开始到 18.0.5 之前的所有版本、从 18.1 开始到 18.1.3 之前的所有版本以及从 18.2 开始到 18.2.1 之前的所有版本。这是一个高危级别的安全问题(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N,8.7)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2025-4700。
CVE-2025-4439
在特定条件下,当实例通过特定内容交付网络(CDN)提供服务时,可能会允许认证用户执行 XSS 脚本攻击。影响从 15.10 开始到 18.0.5 之前的所有版本、从 18.1 开始到 18.1.3 之前的所有版本以及从 18.2 开始到 18.2.1 之前的所有版本。这是一个高危级别的安全问题(CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N,7.7)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2025-4439。
CVE-2025-7001
在特定条件下,能够允许特权用户通过访问 API(这些 API 本不可访问)来获取特定的 resource_group信息。影响从 15.0 开始到 18.0.5 之前的所有版本以及从 18.1 开始到 18.1.3 之前的所有版本以及从 18.2 开始到 18.2.1 之前的所有版本。这是一个中等级别的安全问题(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N, 2.7)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2025-7001。
CVE-2025-0765
在特定条件下,能够允许未授权用户访问自定义的服务桌面邮件地址。影响从 17.9 开始到 18.0.5 之前的所有版本以及从 18.1 开始到 18.1.3 之前的所有版本以及从 18.2 开始到 18.2.1 之前的所有版本。这是一个中等别的安全问题(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N,4.3)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2025-0765。
CVE-2025-1299
在特定条件下,能够允许非未授权用户通过发送伪造请求来阅读部署日志。影响从 15.4 开始到 18.0.5 之前的所有版本以及从 18.1 开始到 18.1.3 之前的所有版本以及从 18.2 开始到 18.2.1 之前的所有版本。这是一个中等别的安全问题(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N,4.3)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2025-1299。
影响版本
CVE-2025-4700
- 15.10 <=GitLab JH/EE/CE < 18.0.5
- 18.1 <= GitLab JH/EE/CE < 18.1.3
- 18.2 <= GitLab JH/EE/CE < 18.2.1
CVE-2025-4439
- 15.10 <=GitLab JH/EE/CE < 18.0.5
- 18.1 <= GitLab JH/EE/CE < 18.1.3
- 18.2 <= GitLab JH/EE/CE < 18.2.1
CVE-2025-7001
- 15.0 <= GitLab JH/EE < 18.0.5
- 18.1 <= GitLab JH/EE < 18.1.3
- 18.2 <= GitLab JH/EE 18.2.1
CVE-2025-0765
- 17.9 <= GitLab JH/EE < 18.0.5
- 18.1 <= GitLab JH/EE < 18.1.3
- 18.2 <= GitLab JH/EE 18.2.1
CVE-2025-1299
- 15.4 <= GitLab JH/EE < 18.0.5
- 18.1 <= GitLab JH/EE < 18.1.3
- 18.2 <= GitLab JH/EE 18.2.1
升级前提
版本查看
有多种方法可以查看当前 GitLab/极狐GitLab 版本信息的方法,下面推荐两种常用方法:
第一种:
直接在 GitLab/极狐GitLab 实例 URL 后面加上 /help 即可查看,比如当前实例的地址为 jihulab.com,那么在浏览器中输入 jihulab.com/help 即可查看到对应的版本信息;
第二种:
对于私有化部署用户来说,如果是管理员可以通过管理中心 --> 仪表盘 --> 组件中心可以看到对应的版本信息。
升级路径查看
GitLab/极狐GitLab 的升级必须严格遵守升级路径,否则很容易出现问题。升级路径查看链接:gitlab.cn/support/too… 。输入当前版本信息(上一步中的查询结果),选择升级的目标版本,即可获取完整升级路径。 升级指南
我们强烈建议所有受以下问题描述所影响的安装实例尽快升级到最新版本。当没有指明产品部署类型的时候(omnibus、源代码、helm chart 等),意味着所有的类型都有影响。
对于GitLab/极狐GitLab 私有化部署版的用户,通过将原有的GitLab JH/EE/CE升级至极狐GitLab 18.1.2-jh、18.0.4-jh、17.11.6-jh 版本即可修复该漏洞。
- Omnibus 安装
使用 Omnibus 安装部署的实例,升级详情可以查看极狐GitLab 安装包安装升级文档。
- Docker 安装
使用 Docker 安装部署的实例,可使用如下三个容器镜像将产品升级到上述三个版本:
registry.gitlab.cn/omnibus/gitlab-jh:18.2.1-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:18.1.3-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:18.0.5-jh.0
升级详情可以查看极狐GitLab Docker 安装升级文档。
- Helm Chart 安装
使用云原生安装的实例,可将使用的 Helm Chart 升级到 9.2.1(对应 18.2.1-jh)、9.1.3(对应 18.1.3-jh)、9.0.5(对应 18.0.5-jh)来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档。
| JH 版本 | 18.2.1 | 18.1.3 | 18.0.5 |
|---|---|---|---|
| Chart 版本 | 9.2.1 | 9.1.3 | 9.0.5 |
对于SaaS用户(jihulab.com),无需进行任何操作,我们已经升级SaaS以修复该漏洞。
极狐GitLab 技术支持
极狐GitLab 技术支持团队对付费客户GitLab(基础版/专业版)提供全面的技术支持,您可以通过support.gitlab.cn/#/portal/my… 将问题提交。
如果您是免费用户,可以在极狐GitLab 论坛发帖或查看 GitLab 升级指南!。
