[TLP:CLEAR] GitLab CE/EE opravuje 9 zraniteľností
GitLab verziami 18.9.1, 18.8.5 a 18.7.5 opravuje 9 zraniteľností v produktoch GitLab Community Edition (CE) a Enterprise Edition (EE) [1]. Najzávažnejšie z nich sú uvedené nižšie.
Neautentizovanému vzdialenému útočníkovi je za určitých okolností umožnené vykonať XSS útok vo funkcionalite Mermaid sandbox [1].
Zraniteľnosť sa nachádza v produktoch:
- GitLab Community Edition vo verziách (>=16.2.0 AND <18.7.5) OR (>=18.8.0 AND <18.8.5) OR (>=18.9.0 AND <18.9.1)
- GitLab Enterprise Edition vo verziách (>=16.2.0 AND <18.7.5) OR (>=18.8.0 AND <18.8.5) OR (>=18.9.0 AND <18.9.1)
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N
Viac informácií:
- CVE-2026-0752 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 25. 2. 2026.
Neautentizovanému vzdialenému útočníkovi je za určitých okolností umožnené vykonať DoS útok vo funkcionalite úložiska kontajnerových obrazov zasielaním špeciálne upravených súborov [1].
Zraniteľnosť sa nachádza v produktoch:
- GitLab Community Edition vo verziách (>=12.2.0 AND <18.7.5) OR (>=18.8.0 AND <18.8.5) OR (>=18.9.0 AND <18.9.1)
- GitLab Enterprise Edition vo verziách (>=12.2.0 AND <18.7.5) OR (>=18.8.0 AND <18.8.5) OR (>=18.9.0 AND <18.9.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-14511 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1284: Improper Validation of Specified Quantity in Input at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 25. 2. 2026.
Neautentizovanému vzdialenému útočníkovi je za umožnené vykonať DoS útok zasielaním špeciálne upravených požiadaviek na koncový bod Jira udalostí [1].
Zraniteľnosť sa nachádza v produktoch:
- GitLab Community Edition vo verziách (>=14.4.0 AND <18.7.5) OR (>=18.8.0 AND <18.8.5) OR (>=18.9.0 AND <18.9.1)
- GitLab Enterprise Edition vo verziách (>=14.4.0 AND <18.7.5) OR (>=18.8.0 AND <18.8.5) OR (>=18.9.0 AND <18.9.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2026-1662 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 25. 2. 2026.
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok v dôsledku nedostatočného obmedzenia spracovania regulárnych výrazov vo funkcionalite žiadostí o zlúčenie [1].
Zraniteľnosť sa nachádza v produktoch:
- GitLab Community Edition vo verziách (>=9.2.0 AND <18.7.5) OR (>=18.8.0 AND <18.8.5) OR (>=18.9.0 AND <18.9.1)
- GitLab Enterprise Edition vo verziách (>=9.2.0 AND <18.7.5) OR (>=18.8.0 AND <18.8.5) OR (>=18.9.0 AND <18.9.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2026-1388 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1333: Inefficient Regular Expression Complexity at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 25. 2. 2026.
Za CESNET-CERTS Henrieta Paločková dňa 26. 2. 2026.
