安全研究

安全漏洞
GitLab CE/EE命令注入漏洞(CVE-2026-3848)

发布日期:2026-03-11
更新日期:2026-06-18

受影响系统:
GitLab CE/EE >= 8.11 < 18.7.6
GitLab CE/EE >= 18.9 < 18.9.2
GitLab CE/EE >= 18.8 < 18.8.6
描述:
CVE(CAN) ID: CVE-2026-3848

GitLab CE/EE是美国GitLab公司的一个端到端软件开发平台,具有内置的版本控制、问题跟踪、代码审查、CI/CD(持续集成和持续交付)等功能。
GitLab CE/EE存在命令注入漏洞,该漏洞源于项目导入功能存在输入校验缺陷,在配置代理环境的特定场景下,攻击者可利用该漏洞构造请求,使GitLab服务发起非预期的内部网络请求。

<**>

建议:
厂商补丁:

GitLab
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://about.gitlab.com/releases/2026/03/11/patch-release-gitlab-18-9-2-released/

浏览次数:96
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障