[TLP:CLEAR] GitLab CE/EE opravuje 15 zraniteľností
GitLab verziami 18.9.2, 18.8.6 a 18.7.6 opravuje 15 zraniteľností v produktoch GitLab Community Edition (CE) a Enterprise Edition (EE) [1]. Najzávažnejšie zraniteľnosti sú uvedené nižšie.
Autentizovanému vzdialenému útočníkovi je v dôsledku nedostatočnej sanitizácie zástupných premenných pri spracovaní Markdown obsahu umožnené vykonať XSS útok [1].
Zraniteľnosť sa nachádza v produktoch:
- GitLab Community Edition vo verziách (>=10.6 AND <18.7.6) OR (>=18.8 AND <18.8.6) OR (>=18.9 AND < 18.9.2)
- GitLab Enterprise Edition vo verziách (>=10.6 AND <18.7.6) OR (>=18.8 AND <18.8.6) OR (>=18.9 AND < 18.9.2)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Viac informácií:
- CVE-2026-1090 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 11. 3. 2026.
Neautentizovanému vzdialenému útočníkovi je v dôsledku nekontrolovanej rekurzie v GraphQL API umožnené vykonať DoS útok zasielaním špeciálne upravených požiadaviek [1].
Zraniteľnosť sa nachádza v produktoch:
- GitLab Community Edition vo verziách >=18.9 AND <18.9.2
- GitLab Enterprise Edition vo verziách >=18.9 AND <18.9.2
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2026-1069 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-674: Uncontrolled Recursion at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 11. 3. 2026.
Neautentizovanému vzdialenému útočníkovi je zasielaním špeciálne upravených požiadaviek na koncové body archívu repozitára umožnené vykonať DoS útok [1].
Zraniteľnosť sa nachádza v produktoch:
- GitLab Community Edition vo verziách (>=10.0 AND <18.7.6) OR (>=18.8 AND <18.8.6) OR (>=18.9 AND <18.9.2)
- GitLab Enterprise Edition vo verziách (>=10.0 AND <18.7.6) OR (>=18.8 AND <18.8.6) OR (>=18.9 AND <18.9.2)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-13929 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 11. 3. 2026.
Neautentizovanému vzdialenému útočníkovi je v dôsledku nedostatočnej validácie vstupov pri spracovaní špeciálne upravených JSON požiadaviek v API chránených vetiev umožnené vykonať DoS útok [1].
Zraniteľnosť sa nachádza v produktoch:
- GitLab Community Edition vo verziách (>=16.11 AND <18.7.6) OR (>=18.8 AND <18.8.6) OR (>=18.9 AND <18.9.2)
- GitLab Enterprise Edition vo verziách (>=16.11 AND <18.7.6) OR (>=18.8 AND <18.8.6) OR (>=18.9 AND <18.9.2)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-14513 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1284: Improper Validation of Specified Quantity in Input at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 11. 3. 2026.
Za CESNET-CERTS Henrieta Paločková dňa 12. 3. 2026.
