作为许多企业内部採用的DevOps平台，GitLab对软件应用程序开发的协同合作相当重要，安全性与可用性不足，将造成很大的影响，因此，一有漏洞相关消息，企业必须要密切注意，及早进行修补或或缓解工作。

3月12日GitLab针对社群版（CE）及企业版（EE）发布安全更新17.9.2、17.8.5、17.7.7版，修补9项漏洞，其中被列为重大层级的CVE-2025-25291、CVE-2025-25292相当危险，特别值得留意。

这两个漏洞出现在名为ruby-saml的程序库，影响启用SAML单一签入（SSO）的GitLab执行个体，在特定的情况下，一旦攻击者能够存取已由身分验证提供者（IdP）签署的有效SAML文件，就有机会以有效的使用者通过身分验证，4.0版CVSS风险评为8.8（满分10分）。

攻击者若要利用这些漏洞，也需克服一个门槛：必须取得有效的使用者帐号，才能进行身分验证绕过。

若是IT人员无法及时套用新版程序，GitLab也提出缓解措施，那就是全面启用GitLab双因素验证（2FA）机制、禁用SAML的2FA绕过功能，以及在自动产生新使用者的过程里，必须经由管理者核准才能放行。