Gitlab 发布了适用于 GitLab CE 和 EE 的 13.9.2、13.8.5 和 13.7.8 版本。这些版本包含重要的安全修复程序，Gitlab 强烈建议立即将所有 GitLab 安装升级到上述这些版本。

通过 Workhorse 的 JWT 令牌泄漏

通过 GitLab Workhorse 进行的路径遍历漏洞可能导致所有版本的 GitLab 都面临 JWT令牌泄漏。Gitlab 已经请求了 CVE ID。

将 XSS 存储在 Wiki 页面中

GitLab 13.8 及更高版本的 Wiki 中输入清理不足，允许攻击者通过对 Wiki 的特制提交来利用存储的跨站点脚本漏洞。现在，该漏洞已在最新版本中得到缓解，并分配为 CVE-2021-22185 ID。

组维护者可以使用组 CI/CD 变量 API

GitLab CE/EE 9.4 及更高版本中的授权问题使组维护者可以修改组 CI/CD 变量，该变量应仅限于组所有者。现在，该漏洞已在最新版本中得到缓解，并分配为 CVE-2021-22186 ID。

GitLab 会话密钥的存储不安全

在所有版本的 GitLab 中，编组的会话密钥都存储在 Redis 中。Gitlab 已经请求了 CVE ID，并将在分配后对其进行更新。

更新 thrift gem

thrift gem 已升级到0.14.0，以减轻安全隐患。受影响的版本为 11.8 及更高版本。

更新 swagger-ui-dist 依赖性

为了缓解安全问题，对 swagger-ui-dist 的依赖性已升级到3.43.0。受影响的版本为 13.7 及更高版本。

更多详情可查看：https://about.gitlab.com/releases/2021/03/04/security-release-gitlab-13-9-2-released/