[TLP:CLEAR] GitLab CE/EE opravuje 25 zranitelností
GitLab verzemi 18.11.3, 18.10.6 a 18.9.7 opravuje 25 zranitelností v produktech GitLab Community Edition (CE) a Enterprise Edition (EE). Nejzávažnější z nich najdete níže, zbylé pak na [1].
Autentizovanému vzdálenému útočníkovi s rolí developer je umožněno vykonat útok XSS při renderování analytických dashboardů v GitLab EE [2].
Zranitelnost se nachází v produktu GitLab ve verzích (>=16.4.0 AND <18.9.7) OR (>=18.10.0 AND <18.10.6) OR (>=18.11.0 AND <18.11.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Více informací:
- CVE-2026-7481 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 14. 5. 2026.
Autentizovanému vzdálenému útočníkovi je umožněno vykonat útok XSS v platformě Duo Agent v GitLab EE [3].
Zranitelnost se nachází v produktu GitLab ve verzích (>=18.7.0 AND <18.9.7) OR (>=18.10.0 AND <18.10.6) OR (>=18.11.0 AND <18.11.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Více informací:
- CVE-2026-6073 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 14. 5. 2026.
Autentizovanému vzdálenému útočníkovi je umožněno vykonat útok XSS v přizpůsobitelných analytických dashboardech v GitLab EE [4].
Zranitelnost se nachází v produktu GitLab ve verzích (>=18.7.0 AND <18.9.7) OR (>=18.10.0 AND <18.10.6) OR (>=18.11.0 AND <18.11.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Více informací:
- CVE-2026-7377 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 14. 5. 2026.
Odkazy
Za CESNET-CERTS Táňa Macháčková dne 18. 5. 2026.
