平台
gitlab
组件
gitlab
修复版本
18.8.9
18.9.5
18.10.3
CVE-2026-1516 是 GitLab EE 中的一个信息泄露漏洞。该漏洞允许经过身份验证的用户通过在代码质量报告中注入恶意内容,泄露其他用户(报告查看者)的 IP 地址。受影响的版本包括 GitLab EE 18.0.0 到 18.10.3。GitLab 已发布修复版本 18.10.3,建议用户尽快升级。
该漏洞的潜在影响是敏感信息泄露。攻击者可以利用此漏洞获取报告查看者的 IP 地址,从而可能用于进一步的攻击,例如定向攻击或身份识别。虽然泄露的只是 IP 地址,但结合其他信息,攻击者可能能够推断出更详细的用户信息。由于该漏洞存在于代码质量报告中,攻击者可能需要一定的权限才能注入恶意内容,但一旦成功,影响范围可能包括所有查看该报告的用户。
该漏洞已公开披露,目前尚未观察到大规模利用。该漏洞被添加到 CISA KEV 目录中,表明其潜在风险较高。公开的 PoC 尚未发现,但由于漏洞描述清晰,预计未来可能会出现。
Organizations using GitLab Enterprise Edition (EE) with versions between 18.0.0 and 18.10.3 are at risk. Teams relying heavily on Code Quality reports for security assessments are particularly vulnerable, as are those with less stringent access controls to these reports.
• gitlab / server:
# Check GitLab version
gitlab-ctl version• gitlab / logs:
# Monitor Code Quality report generation logs for unusual activity
grep -i 'code quality report' /var/log/gitlab/gitlab-rails/production.log• generic web:
# Check for exposed Code Quality endpoints
curl -I https://<gitlab_url>/api/v4/quality_reportsdisclosure
漏洞利用状态
EPSS
0.04% (14% 百分位)
CISA SSVC
最有效的缓解措施是升级到 GitLab EE 18.10.3 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制对代码质量报告的访问权限,仅允许授权用户查看;审查代码质量报告的输入验证机制,确保防止恶意内容注入;监控 GitLab 日志,查找异常活动,例如未经授权的 IP 地址访问。升级后,请验证报告是否不再泄露用户 IP 地址。
将 GitLab 更新到 18.8.9 或更高版本,18.9.5 或更高版本,或 18.10.3 或更高版本以缓解漏洞。此更新修复了一个允许查看代码质量报告的用户泄露 IP 地址的问题。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-1516 是 GitLab EE 中一个信息泄露漏洞,允许攻击者通过代码质量报告泄露报告查看者的 IP 地址。
如果您正在使用 GitLab EE 18.0.0 到 18.10.3 版本,则可能受到影响。请立即升级到 18.10.3 或更高版本。
升级到 GitLab EE 18.10.3 或更高版本是修复此漏洞的最佳方法。
目前尚未观察到大规模利用,但由于漏洞已公开披露,存在被利用的风险。
请访问 GitLab 安全公告页面:https://about.gitlab.com/security/advisories/
CVSS 向量