CVE-2025-14870GitLab CE/EE存在输入验证不足漏洞,未经身份认证的攻击者可发送特制JSON数据包触发拒绝服务。该漏洞影响范围较广,涵盖从18.5版本开始直至18.11.3之前的多个迭代版本。攻击者无需用户交互即可利用该漏洞导致系统资源耗尽或服务崩溃,严重威胁平台可用性,建议管理员尽快修复以避免业务中断。
该漏洞源于GitLab在处理JSON负载时缺乏足够的输入验证机制。在受影响的版本(18.5至18.11)中,应用程序未能正确清理或处理通过API端点发送的畸形或复杂的JSON结构。这种验证缺失允许未经身份验证的攻击者构造能够利用解析逻辑的特定数据包,从而导致资源耗尽或应用程序崩溃,进而引发拒绝服务。攻击向量为网络(AV:N),无需权限(PR:N)且无需用户交互(UI:N),因此极易被远程利用。攻击者可以通过发送恶意构造的超大JSON对象或特殊格式的数据,触发服务器的异常处理逻辑,导致CPU或内存资源被耗尽,最终使GitLab实例无法响应正常请求。