GitLab發布安全更新，修補可能導致執行任意JavaScript程式碼、拒絕服務攻擊的多項重大漏洞

全球主要DevOps開發平臺之一的GitLab，近日發布更新，修補Community Edition（CE）與Enterprise Edition（EE）版的25項漏洞，包含多項重大漏洞，可能導致駭客得以執行任意JavaScript程式碼，或是發動拒絕服務攻擊。GitLab建議採用自行管理（self-managed）版本的用戶，儘速升級到已修補的18.11.3、18.10.6與18.9.7等版本，雲端版GitLab.com服務則已完成更新。

這次GitLab修補的漏洞中，最嚴重的是CVE-2026-7481、CVE-2026-5297、CVE-2026-6073與CVE-2026-7377等4個，CVSS嚴重性評分均為8.7分，皆屬於跨網站指令碼（XSS）問題，可能導致攻擊者藉此執行任意JavaScript程式碼。這4個漏洞各自是由不同元件與功能的輸入清理不當（improper input sanitization）所引發，CVE-2026-7481與CVE-2026-7377均與分析儀表板（Analytics dashboard）圖表的功能有關，CVE-2026-5297是源自全域搜尋功能（Global Search），CVE-2026-6073則是存在於AI代理Duo Agent。

綜觀這次GitLab修補的25項漏洞中，跨網站指令碼（XSS）問題為最大宗，占了6項，次之是拒絕服務與授權不當問題，各有5個，其次是存取控制問題，總共有4個。