CVE-2026-4332GitLab EE 的可定制分析仪表板功能中存在一个安全漏洞。由于对用户输入的清理不当,经过身份认证的攻击者可以在仪表板中注入任意 JavaScript 代码。当其他用户访问包含恶意代码的仪表板时,该脚本将在其浏览器上下文中执行,从而导致跨站脚本攻击(XSS)。该漏洞影响了从 18.2 到 18.10 的多个特定版本,攻击者利用此漏洞可窃取用户会话令牌或执行其他客户端恶意操作。
该漏洞根因在于 GitLab EE 可定制分析仪表板功能对用户输入数据缺乏严格的过滤和转义机制。攻击者首先需要拥有 GitLab 的低权限账户。在编辑或创建分析仪表板时,攻击者可以在特定字段(如仪表板名称、图表配置或描述字段)中插入恶意的 JavaScript 脚本。由于后端未对这些输入进行充分的消毒处理,恶意脚本被持久化存储在服务器端。当具有更高权限的用户(如管理员)或其他受害者访问并渲染该受污染的仪表板页面时,嵌入的恶意代码将在受害者的浏览器环境中自动执行。利用此漏洞,攻击者可以窃取受害者的 Session Cookie、执行未授权的操作,或者进行钓鱼攻击。尽管 CVSS 评分显示影响有限,但在高权限用户触发的场景下,潜在风险可能升级。