GitLab 发布了一系列紧急的软件修改,以保护开发流程。具体来说,这些新的 GitLab 安全更新修补了社区版和企业版的若干弱点。安全缺陷的追踪严重程度从中等到高不等。因此,管理团队必须立即升级实例,以保护敏感的源代码仓库。
解决高严重度双重AI缺陷
首先,最关键的修复是解决自动化工作流程环境中的身份伪造问题。威胁格局主要针对企业版平台上的先进Duo AI工作流程运行者。该漏洞被追踪为CVE-2026-4868,获得了高分8.2的CVSS评分。官方公告指出,该漏洞“可能允许认证用户以其他用户身份运行特定的Duo AI工作流程。”
因此,恶意行为者可以劫持系统权限,悄无声息地执行未授权任务。幸运的是,这次安全部署提供了全面的 Duo AI 漏洞修复方案,以阻止此类操控行为。
解决中风险管道和代币漏洞
管道名称解析的错误
此外,补丁周期还解决了若干中等风险的安全漏洞。例如,一个被追踪为CVE-2026-8716的流水线漏洞在构建过程中导致了不当的名称解析。经过认证的攻击者可能会利用这一错误,从未预期的代码分支中查看持续集成数据。
项目访问令牌违规
此外,开发者修复了一个被归类为CVE-2026-2710的令牌验证错误。该特定错误使被阻挡的项目访问令牌能够保持活跃的资源认证路径。为消除这些问题,厂商建议全面迁移至19.0.1、18.11.4或18.10.7版本。部署这些 GitLab 安全更新确保权限门正常运行。
管理员的防御措施
最终,开发团队必须强制执行快速维护流程,以最大限度地减少外部暴露。该建议涵盖了补充缺陷,包括维基拒绝服务向量和GraphQL授权错误。由于没有有效的变通方法,手动软件更新是唯一可行的缓解策略。管理者应当今天部署官方供应商版本,以保持韧性态势。
上一条:ChemDraw专业版 化学人的专业绘图神器
下一条:Docker 部署 GitLab CE 完整版教程
沪公网安备31011302006932号