GitLab 发布了 18.6.1、18.5.3 和 18.4.5 版本，修复了社区版和企业版中的多项安全与稳定性问题。官方建议所有自托管用户尽快升级至对应版本，以保障系统安全。GitLab.com 已完成更新，GitLab Dedicated 用户无需采取任何操作。本次更新修复了两项高风险漏洞，分别涉及 CI/CD 缓存凭证泄露和拒绝服务（DoS）攻击。

CVE-2024-9183：CI/CD 缓存竞态条件漏洞

该漏洞与 CI/CD 缓存的竞态条件有关，在特定条件下，低权限的已登录用户可能获取高权限用户的凭据，并以该身份执行操作，CVSS 评分为 7.7。受影响版本包括 GitLab CE 和 EE 的 18.4.0 至 18.4.4、18.5.0 至 18.5.2 以及 18.6.0，修复已包含在 18.4.5、18.5.3 和 18.6.1 中。

CVE-2025-12571：JSON 输入验证中间件拒绝服务漏洞

该漏洞存在于 JSON 输入验证中间件中，未经身份验证的攻击者可通过构造恶意 JSON 请求触发拒绝服务，导致系统无法响应。受影响范围较广，涵盖从 17.10 版本至 18.4.4，以及 18.5.0 至 18.5.2 和 18.6.0，CVSS 评分为 7.5。

除上述两项高风险漏洞外，本次更新还修复了多项中低风险问题，包括绕过账户注册流程的身份验证漏洞 CVE-2025-12653、HTTP 响应处理中的 DoS 漏洞 CVE-2025-7449、企业版标记语法渲染的权限检查缺陷 CVE-2025-6195，以及 Terraform Registry 在特定条件下可能导致令牌泄露的信息披露漏洞 CVE-2025-13611。

本次更新还包含多项程序修复与稳定性优化，例如将容器注册表升级至 v4.31.1，并修复了云原生 GitLab 管理界面的 CSS 加载问题。由于本次升级涉及数据库迁移，单节点环境在升级过程中需要等待迁移完成，期间将出现停机；多节点部署可按照官方零停机流程执行。18.6.1 版本在升级后还需执行部署后迁移（Post-deploy）任务，用户在系统上线后仍需完成后台数据迁移，才能完整应用本次更新内容。