IPBUF安全漏洞报告
English
CVE-2026-7377 CVSS 8.7 高危

CVE-2026-7377 GitLab EE 可定制分析仪表板存储型XSS漏洞

披露日期: 2026-05-14
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-7377
漏洞类型
跨站脚本攻击 (XSS)
CVSS评分
8.7 高危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
需要交互 (UI:R)
影响产品
GitLab EE

相关标签

XSSGitLabGitLab EECVE-2026-7377Web SecurityStored XSS

漏洞概述

GitLab企业版(EE)存在一处高危安全漏洞,影响从18.7到18.11.3之前的多个发行版本。该漏洞源于可自定义分析仪表板功能未能正确过滤用户输入。经过身份验证的攻击者可以利用此缺陷注入恶意JavaScript脚本,当其他用户访问受影响的仪表板时,脚本将在其浏览器会话上下文中自动执行。此漏洞可能导致敏感数据泄露、账户劫持以及进一步的横向移动。

技术细节

该漏洞属于存储型跨站脚本攻击(Stored XSS)。在GitLab EE的可定制分析仪表板中,应用程序未对用户提交的特定输入字段进行充分的输入验证和输出编码。攻击者拥有低权限账户(PR:L)即可构造包含恶意JS代码的Payload,并将其保存到仪表板配置中。由于缺乏清理机制,该Payload被持久化存储在服务器端。当具有更高权限或目标身份的其他用户(UI:R)浏览被篡改的仪表板页面时,服务器会将未经过滤的恶意脚本发送给客户端浏览器解析。浏览器执行这些脚本后,攻击者即可利用受害者的会话Cookie或权限执行操作,如读取私有仓库数据、修改设置等。CVSS向量中的S:C(Scope Changed)表明攻击范围从应用扩展到了用户浏览器环境。

攻击链分析

STEP 1
1. 初始访问
攻击者使用低权限账户登录到目标GitLab EE实例。
STEP 2
2. 漏洞利用
攻击者导航至“可定制分析仪表板”功能,创建或编辑一个仪表板,并在未经过滤的输入字段中注入恶意JavaScript代码。
STEP 3
3. 社会工程/诱导
攻击者保存恶意仪表板,并将其链接分享给具有更高权限的目标用户(如管理员或开发人员),诱导其点击查看。
STEP 4
4. 代码执行
受害用户访问该仪表板页面,浏览器加载页面并解析攻击者注入的恶意脚本,导致在受害者的浏览器上下文中执行任意JS代码。
STEP 5
5. 会话劫持
恶意脚本窃取受害者的Session Cookie或利用其权限执行API请求,从而获取敏感数据或接管账户。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
// PoC for CVE-2026-7377: Stored XSS in Customizable Analytics Dashboards // Attacker injects this payload into a customizable dashboard field. // When a victim views the dashboard, the script executes. // Payload to be injected into a dashboard configuration field (e.g., visualization title or content) var maliciousPayload = '<img src=x onerror=alert(\'CVE-2026-7377_XSS\')>'; // Example request simulation fetch('/api/v4/analytics/dashboards', { method: 'POST', headers: { 'Content-Type': 'application/json', 'Authorization': 'Bearer <ATTACKER_TOKEN>' }, body: JSON.stringify({ 'name': 'Public Stats', 'description': 'Overview of project metrics', 'widgets': [ { 'type': 'text', 'content': maliciousPayload // Injecting the XSS payload here } ] }) });

影响范围

GitLab EE >= 18.7, < 18.9.7
GitLab EE >= 18.10, < 18.10.6
GitLab EE >= 18.11, < 18.11.3

防御指南

临时缓解措施
建议管理员立即检查GitLab版本并应用官方补丁。如果无法立即升级,应暂时禁用“可定制分析仪表板”功能,或仅允许受信任的用户访问。同时,加强对用户输入的过滤和输出编码,确保所有动态内容在渲染前都经过适当的转义处理。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表