GitLab 发布社区版与企业版 18.8.2、18.7.2、18.6.4 版本更新，修复了在特定条件下可绕过双因素认证的高风险漏洞，以及多项可能导致拒绝服务（DoS）的安全缺陷。官方呼吁自托管部署用户尽快升级至上述任一修复版本。GitLab.com 已应用补丁，GitLab Dedicated 用户无需采取任何操作。

本次更新共包含 5 项安全修复，其中 3 项为高风险，2 项为中风险。主要影响为 DoS 场景，包括未经身份验证的攻击者可触发的请求型攻击，以及在特定条件下由已登录用户引发的情境，可能影响服务可用性；另一项涉及身份验证服务返回值处理问题，可能在特定条件下削弱双因素认证的防护能力。

在高风险项中，GitLab 修复了 CVE-2026-0723，该问题与身份验证服务返回值处理不完整有关。官方指出，若攻击者已获取受害者的凭证标识符，可能通过伪造设备响应，在特定条件下绕过双因素认证。

另外两项高风险漏洞均属于 DoS 类型：CVE-2025-13927 出现在 Jira Connect 集成中，未经身份验证的攻击者可通过发送格式异常的验证数据特制请求触发 DoS；CVE-2025-13928 则与 Releases API 的授权检查错误有关，攻击者可利用 API 端点的授权检查缺陷触发 DoS。

中风险漏洞方面，CVE-2025-13335 涉及 Wiki 重定向流程，在特定情况下，已登录用户可通过设置格式异常的 Wiki 页面，绕过循环检测机制，导致系统陷入无限循环，引发 DoS。另一项 CVE-2026-1102 涉及 SSH 验证请求，未经身份验证的攻击者可通过反复发送格式异常的 SSH 验证请求，导致 API 端点发生 DoS。

GitLab 提醒，本次补丁包含数据库迁移，可能影响升级时间安排。单节点部署在升级过程中需等待迁移完成，服务方可启动，因此通常需要停机处理；多节点部署若遵循零停机升级流程，可将服务中断风险降至最低。18.7.2 版本包含部署后迁移，即可在完成程序升级后再执行数据库迁移。