GitLab釋出新版修正Maven Proxy高嚴重性XSS漏洞

GitLab釋出17.11.1、17.10.5及17.9.7版本，針對社群版與企業版同步進行安全性修正。本次更新重點為修補多個Maven Dependency Proxy元件相關的高嚴重性跨站腳本攻擊（XSS）漏洞與資料洩漏風險，影響範圍涵蓋16.6後的版本號。官方指出，受影響的安裝環境不限於部署方式，所有自助管理版本GitLab均建議儘速升級，以維持系統安全性。

GitLab公告修補五個安全性問題，其中三項為高嚴重性漏洞。兩個高嚴重性漏洞出現在Maven Dependency Proxy元件，該元件主要用於快取與管理Java專案所需套件下載，但因內容安全政策（CSP）與快取標頭設定不足，攻擊者可能植入惡意腳本，繞過瀏覽器的安全防護機制。另一項高嚴重性漏洞則與NEL（Network Error Logging）標頭注入有關，可能使攻擊者追蹤使用者瀏覽行為，進一步增加入侵或帳號接管的風險。GitLab表示，這些問題已於新版中修正，相關CVE編號分別為CVE-2025-1763、CVE-2025-2443與CVE-2025-1908。

除高風險漏洞之外，本次GitLab也修正兩個中等嚴重性漏洞，包括透過Issue Preview功能造成的DoS攻擊，以及在專案停用Repository Assets功能後，仍可未授權讀取分支名稱的存取控制問題。這些漏洞已分別指派CVE-2025-0639與CVE-2024-12244，並已完成修補。