[TLP:CLEAR] GitLab CE/EE opravuje 12 zranitelností
GitLab verzemi 18.10.1, 18.9.3 a 18.8.7 opravuje 12 zranitelností v produktech GitLab Community Edition (CE) a Enterprise Edition (EE) [1]. Nejzávažnější zranitelnosti jsou uvedné níže, zbylé naleznete na [1].
Autentizovanému vzdálenému útočníkovi s minimálními oprávněními ve workspace je kvůli nedostatečné autorizační kontrole při instalacích Jira Connect v GitLab CE/EE umožněno získat instalační přihlašovací údaje a vydávat se za aplikaci GitLab [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=14.3 AND <18.8.7) OR (>=18.9 AND <18.9.3) OR (>=18.10 AND <18.10.1)
- GitLab Enterprise Edition ve verzích (>=14.3 AND <18.8.7) OR (>=18.9 AND <18.9.3) OR (>=18.10 AND <18.10.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Více informací:
- CVE-2026-2370 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-863: Incorrect Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 25. 3. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné ochraně proti CSRF v GraphQL API v GitLab CE/EE umožněno provádět libovolné GraphQL mutace jménem autentizovaných uživatelů [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=17.10 AND <18.8.7) OR (>=18.9 AND <18.9.3) OR (>=18.10 AND <18.10.1)
- GitLab Enterprise Edition ve verzích (>=17.10 AND <18.8.7) OR (>=18.9 AND <18.9.3) OR (>=18.10 AND <18.10.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
Více informací:
- CVE-2026-3857 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-352: Cross-Site Request Forgery (CSRF) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 25. 3. 2026.
Autentizovanému vzdálenému útočníkovi je kvůli nedostatečné sanitizaci HTML obsahu v reportu zranitelností v GitLab EE umožněno přidat e-mailové adresy k cíleným uživatelským účtům [1].
Zranitelnost se nachází v produktu GitLab Enterprise Edition ve verzích (>=15.4 AND <18.8.7) OR (>=18.9 AND <18.9.3) OR (>=18.10 AND <18.10.1).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
Více informací:
- CVE-2026-2995 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 25. 3. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci vstupu při zpracování GraphQL požadavků v GraphQL API v GitLab CE/EE umožněno vykonat DoS útok [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=18.5 AND <18.8.7) OR (>=18.9 AND <18.9.3) OR (>=18.10 AND <18.10.1)
- GitLab Enterprise Edition ve verzích (>=18.5 AND <18.8.7) OR (>=18.9 AND <18.9.3) OR (>=18.10 AND <18.10.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2026-3988 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-407: Inefficient Algorithmic Complexity at cwe.mitre.org
Zranitelnost byla veřejně oznámena 25. 3. 2026.
Za CESNET-CERTS Michaela Jarošová dne 26. 3. 2026.
