本分分享極狐GitLab 補(bǔ)丁版本 17.9.1、17.8.4、17.7.6 的詳細(xì)內(nèi)容。這幾個(gè)版本包含重要的缺陷和安全修復(fù)代碼，我們強(qiáng)烈建議所有私有化部署用戶應(yīng)該立即升級到上述的某一個(gè)版本。對于極狐GitLab SaaS，技術(shù)團(tuán)隊(duì)已經(jīng)進(jìn)行了升級，無需用戶采取任何措施。

極狐GitLab 正式推出面向 GitLab 老舊版本的專業(yè)升級服務(wù)，專業(yè)技術(shù)人員為 GitLab 版本升級提供企業(yè)級服務(wù)，讓企業(yè)業(yè)務(wù)暢行無憂！

漏洞詳情

CVE-2025-0475

在特定情況下，代理功能可能會(huì)導(dǎo)致意外的內(nèi)容渲染，從而引發(fā)跨站腳本攻擊（XSS） 。影響從 15.10 開始到 17.7.6 、17.8 開始到 17.8.4 以及從 17.9 開始到 17.9.1 之前的所有版本。這是一個(gè)高危級別的安全問題（CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, 8.7）?，F(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2025-0475。

CVE-2025-0555

在特定條件下，攻擊者可以繞過安全控制并在用戶瀏覽器上執(zhí)行任意腳本。影響從 16.6 開始到 17.7.6 、17.8 開始到 17.8.4 以及從 17.9 開始到 17.9.1 之前的所有版本。這是一個(gè)高危級別的安全問題（CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N, 7.7）?，F(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2025-0555。

CVE-2024-8186

在特定情況下，攻擊者可以將 HTML 注入到子項(xiàng)搜索中從而導(dǎo)致 XSS 攻擊。影響從 16.6 開始到 17.7.6 、17.8 開始到 17.8.4 以及從 17.9 開始到 17.9.1 之前的所有版本。這是一個(gè)中等級別的安全問題（CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N, 5.4）。現(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-8186。

CVE-2024-10925

在此漏洞下，訪客用戶可讀取安全策略 YAML。影響從 16.2 開始到 17.7.6 、17.8 開始到 17.8.4 以及從 17.9 開始到 17.9.1 之前的所有版本。這是一個(gè)中等級別的安全問題（CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N, 5.3）?，F(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-10925。

CVE-2025-0307

在此漏洞下，不正確的授權(quán)能夠允許受限用戶訪問敏感的項(xiàng)目數(shù)據(jù)。影響從 17.7 開始到 17.7.6 、17.8 開始到 17.8.4 以及從 17.9 開始到 17.9.1 之前的所有版本。這是一個(gè)中等級別的安全問題（CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, 4.3）?，F(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-0307。

影響版本

CVE-2025-0475

• 15.10 <= GitLab CE/EE/JH < 17.7.6
• 17.8 <= GitLab CE/EE/JH < 17.8.4
• 17.9 <= GitLab CE/EE/JH < 17.9.1

CVE-2025-0555

• 16.6 <= GitLab CE/EE/JH < 17.7.6
• 17.8 <= GitLab CE/EE/JH < 17.8.4
• 17.9 <= GitLab CE/EE/JH < 17.9.1

CVE-2024-8186

• 16.6 <= GitLab CE/EE/JH < 17.7.6
• 17.8 <= GitLab CE/EE/JH < 17.8.4
• 17.9 <= GitLab CE/EE/JH < 17.9.1

CVE-2024-10925

• 16.2 <= GitLab CE/EE/JH < 17.7.6
• 17.8 <= GitLab CE/EE/JH < 17.8.4
• 17.9 <= GitLab CE/EE/JH < 17.9.1

CVE-2024-0307

• 17.7 <= GitLab CE/EE/JH < 17.7.6
• 17.8 <= GitLab CE/EE/JH < 17.8.4
• 17.9 <= GitLab CE/EE/JH < 17.9.1

升級前提

版本查看

有多種方法可以查看當(dāng)前 GitLab/極狐GitLab 版本信息的方法，下面推薦兩種常用方法：

第一種：

直接在 GitLab/極狐GitLab 實(shí)例 URL 后面加上 /help 即可查看，比如當(dāng)前實(shí)例的地址為 jihulab.com，那么在瀏覽器中輸入 jihulab.com/help 即可查看到對應(yīng)的版本信息；

第二種：

對于私有化部署用戶來說，如果是管理員可以通過管理中心 --> 儀表盤 --> 組件中心可以看到對應(yīng)的版本信息。

升級路徑查看

GitLab/極狐GitLab 的升級必須嚴(yán)格遵守升級路徑，否則很容易出現(xiàn)問題。升級路徑查看鏈接：https://gitlab.cn/support/toolbox/upgrade-path/。輸入當(dāng)前版本信息（上一步中的查詢結(jié)果），選擇升級的目標(biāo)版本，即可獲取完整升級路徑。
升級指南

我們強(qiáng)烈建議所有受以下問題描述所影響的安裝實(shí)例盡快升級到最新版本。當(dāng)沒有指明產(chǎn)品部署類型的時(shí)候（omnibus、源代碼、helm chart 等），意味著所有的類型都有影響。

對于GitLab/極狐GitLab 私有化部署版的用戶，通過將原有的GitLab CE/EE/JH升級至極狐GitLab 17.8.1-jh、17.7.3-jh、17.6.4-jh 版本即可修復(fù)該漏洞。

• Omnibus 安裝

使用 Omnibus 安裝部署的實(shí)例，升級詳情可以查看極狐GitLab 安裝包安裝升級文檔。

• Docker 安裝

使用 Docker 安裝部署的實(shí)例，可使用如下三個(gè)容器鏡像將產(chǎn)品升級到上述三個(gè)版本：

registry.gitlab.cn/omnibus/gitlab-jh:17.9.1-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.8.4-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.7.6-jh.0

升級詳情可以查看極狐GitLab Docker 安裝升級文檔。

• Helm Chart 安裝

使用云原生安裝的實(shí)例，可將使用的 Helm Chart 升級到 8.8.1(對應(yīng) 17.8.1-jh）、8.7.5（對應(yīng) 17.7.3-jh）、8.6.4（對應(yīng) 17.6.4-jh）來修復(fù)該漏洞。升級詳情可以查看 Helm Chart 安裝升級文檔。

對于SaaS用戶（jihulab.com），無需進(jìn)行任何操作，我們已經(jīng)升級SaaS以修復(fù)該漏洞。

極狐GitLab 技術(shù)支持

極狐GitLab 技術(shù)支持團(tuán)隊(duì)對付費(fèi)客戶GitLab（基礎(chǔ)版/專業(yè)版）提供全面的技術(shù)支持，您可以通過https://support.gitlab.cn/#/portal/myticket 將問題提交。

如果您是免費(fèi)用戶，在升級過程中遇到任何問題，可以參考GitLab 升級指南中的方法。