一、基本情况
GitLab是一个基于Web的DevOps平台。
二、漏洞描述
近日,GitLab官方修复了一个存在于Webhook自定义请求头处理逻辑中的服务端请求伪造(SSRF)漏洞(CVE-2025-6454)。该漏洞允许经过身份验证的用户在代理环境下通过构造特定请求头序列,绕过校验机制并向内部系统发起非预期请求。一旦被利用,攻击者可能在一定条件下访问敏感内部服务或进一步发起攻击,对系统的完整性与安全构成严重威胁。
三、影响范围
16.11.0 <= GitLab < 18.1.6
18.2.0 <= GitLab < 18.2.6
18.3.0 <= GitLab < 18.3.2
四、修复建议
已发布修复版本,请将GitLab升级到如下版本。
GitLab >= 18.1.6
GitLab >= 18.2.6
GitLab >= 18.3.2
