CVE-2025-9484 是 GitLab EE 中发现的一个安全漏洞,允许经过身份验证的用户在特定情况下通过 GraphQL 查询访问其他用户的电子邮件地址。此漏洞可能导致敏感信息泄露,对用户隐私构成威胁。受影响的版本包括 GitLab EE 16.6.0 到 18.10.3。该漏洞已在 GitLab 18.10.3 版本中修复。
CVE-2025-9484 影响 GitLab EE,在特定情况下,允许经过身份验证的用户通过特定的 GraphQL 查询访问其他用户的电子邮件地址。该漏洞存在于 GitLab EE 的 16.6 之前的 18.8.9、18.9 之前的 18.9.5 和 18.10 之前的 18.10.3 版本中。潜在影响是不正当地泄露敏感的个人信息,这可能导致受影响用户的隐私和安全风险。虽然利用需要特定的 GraphQL 知识和特定的配置,但访问其他用户联系件的可能性仍然是一个重大的问题。为了减轻这种风险,务必应用提供的安全更新。
该漏洞通过恶意 GraphQL 查询利用。具有适当权限的经过身份验证的用户可以构造特定的 GraphQL 查询来提取其他用户的电子邮件地址。利用不需要管理员权限,但需要了解 GraphQL 结构以及能够构建选择电子邮件字段的查询。利用的可能性取决于 GitLab 实例的配置以及是否存在具有构建这些查询所需的技术专业知识的用户。GitLab 已经采取措施,通过限制 GraphQL 上的敏感信息访问,来缓解已修补版本中的此漏洞。
漏洞利用状态
EPSS
0.01% (3% 百分位)
CISA SSVC
为了解决 CVE-2025-9484,强烈建议升级到 GitLab EE 版本 18.10.3 或更高版本,或升级到支持的 18.8 或 18.9 分支中的后续版本。此更新通过限制受影响的 GraphQL 查询对电子邮件地址的访问来修复漏洞。请参阅官方 GitLab 文档,了解有关如何升级 GitLab 实例的详细说明。此外,请审查您的安全和访问策略,以确保只有授权用户才能访问敏感信息。及时应用此更新对于保护用户隐私和维护 GitLab 环境的安全至关重要。
Actualice GitLab a la versión 18.8.9 o superior, 18.9.5 o superior, o 18.10.3 o superior. Esta actualización corrige una vulnerabilidad de autorización que permitía a usuarios autenticados acceder a las direcciones de correo electrónico de otros usuarios a través de ciertas consultas GraphQL.
漏洞分析和关键警报直接发送到您的邮箱。
容易受到攻击的版本是 GitLab EE 的 16.6 之前的 18.8.9、18.9 之前的 18.9.5 和 18.10 之前的 18.10.3 版本。
立即升级到 GitLab EE 版本 18.10.3 或更高版本,或升级到支持的 18.8 或 18.9 分支中的后续版本。
不,利用不需要管理员权限,但需要了解 GraphQL。
主要包括其他用户的电子邮件地址。
请参阅官方 GitLab 文档和 CVE-2025-9484 安全公告。
CVSS 向量