GitLab CVE-2025-4278 安全漏洞解决方案

本分分享极狐GitLab 补丁版本 18.0.2, 17.11.4, 17.10.8 的详细内容。这几个版本包含重要的缺陷和安全修复代码,我们强烈建议所有私有化部署用户应该立即升级到上述的某一个版本。对于极狐GitLab SaaS,技术团队已经进行了升级,无需用户采取任何措施。

GitLab 免费版用户,可以查看GitLab 升级指导服务

漏洞详情

标题 严重等级 CVE ID
HTML 注入影响 GitLab JH/EE/CE 高危 CVE-2025-4278

影响版本

  • 18.0 <= GitLab CE/EE/JH < 18.0.2

解决办法

在特定条件下,该漏洞可以允许攻击者将代码注入到搜索页面上来接管账号。影响从 18.0 开始到 18.0.2 之前的所有版本。这是一个高危级别的安全问题(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, 8.7)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2025-4278

以下内容仅针对私有化部署用户

升级前提

版本查看

有多种方法可以查看当前 GitLab/极狐GitLab 版本信息的方法,下面推荐两种常用方法:

第一种:

直接在 GitLab/极狐GitLab 实例 URL 后面加上 /help 即可查看,比如当前实例的地址为 jihulab.com,那么在浏览器中输入 jihulab.com/help 即可查看到对应的版本信息;

第二种:

对于私有化部署用户来说,如果是管理员可以通过管理中心 --> 仪表盘 --> 组件中心可以看到对应的版本信息。

升级路径查看

GitLab/极狐GitLab 的升级必须严格遵守升级路径,否则很容易出现问题。升级路径查看链接:https://gitlab.cn/support/toolbox/upgrade-path/。输入当前版本信息(上一步中的查询结果),选择升级的目标版本,即可获取完整升级路径。

升级指南

我们强烈建议所有受以下问题描述所影响的安装实例尽快升级到最新版本。当没有指明产品部署类型的时候(omnibus、源代码、helm chart 等),意味着所有的类型都有影响。

对于GitLab/极狐GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH升级至极狐GitLab 18.0.2-jh、17.11.4-jh、17.10.8-jh 版本即可修复该漏洞。

  • Omnibus 安装

使用 Omnibus 安装部署的实例,升级详情可以查看极狐GitLab 安装包安装升级文档。

  • Docker 安装

使用 Docker 安装部署的实例,可使用如下三个容器镜像将产品升级到上述三个版本:

复制代码
registry.gitlab.cn/omnibus/gitlab-jh:18.0.2-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.11.4-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.10.8-jh.0

升级详情可以查看极狐GitLab Docker 安装升级文档。

  • Helm Chart 安装

使用云原生安装的实例,可将使用的 Helm Chart 升级到 9.0.2(对应 18.0.2-jh)、8.11.4(对应 17.11.4-jh)、8.10.8(对应 17.10.8-jh)来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档。

JH 版本 18.0.2 17.11.4 17.10.8
Chart 版本 9.0.2 8.11.4 8.10.8
相关推荐
Allen正心正念20256 小时前
GitLab 中的分支和标签的定义及操作
gitlab
哈里谢顿8 小时前
DevOps工程师必备Linux命令完全指南
devops
爱吃土豆的马铃薯ㅤㅤㅤㅤㅤㅤㅤㅤㅤ13 小时前
gitlab 开发人员无法创建分支,管理员配置分支权限
gitlab
全栈测试笔记19 小时前
【汇总】接口自动化测试 + 持续集成(文末视频演示)
ci/cd
某某1 天前
在Centos7中安装gitlab
linux·运维·gitlab
数据智能老司机1 天前
DevOps 安全与自动化——理解 DevOps 文化与原则
架构·自动化运维·devops
数据智能老司机1 天前
DevOps 安全与自动化——开发环境搭建
架构·自动化运维·devops
不念霉运1 天前
测试平台如何重塑CI/CD流程中的质量协作新范式
ci/cd
所念皆为东辞1 天前
gitlab+jenkins的ci/cd部署
运维·ci/cd·gitlab·jenkins
卓豪终端管理2 天前
电脑远程关机的重要性
运维·网络·devops