Zpětná vazba k reportu

Autentizovanému vzdálenému útočníkovi je za určitých podmínek umožněno spustit vybrané Duo AI workflow pod identitou jiného uživatele v GitLab EE [1].

Zranitelnost se nachází v produktu GitLab Enterprise Edition ve verzích (>=18.8 AND <18.10.7) OR (>=18.11 AND <18.11.4) OR (>=19.0 AND <19.0.1).

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N

Více informací:

• CVE-2026-4868 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-639: Authorization Bypass Through User-Controlled Key at cwe.mitre.org

Zranitelnost byla veřejně oznámena 27. 5. 2026.

Autentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci ve Wiki umožněno za určitých podmínek vykonat útok DoS v GitLab CE/EE [1].

Zranitelnost se nachází v produktech:

• GitLab Community Edition ve verzích (>=17.1 AND <18.10.7) OR (>=18.11 AND <18.11.4) OR (>=19.0 AND <19.0.1)
• GitLab Enterprise Edition ve verzích (>=17.1 AND <18.10.7) OR (>=18.11 AND <18.11.4) OR (>=19.0 AND <19.0.1)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Více informací:

• CVE-2026-1402 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org

Zranitelnost byla veřejně oznámena 27. 5. 2026.

Neautentizovanému vzdálenému útočníkovi je kvůli nesprávným autorizačním kontrolám v GraphQL WorkItem API umožněno za určitých podmínek enumerovat privátní projekty v GitLab CE/EE [1].

Zranitelnost se nachází v produktu GitLab Community Edition ve verzích (>=18.2 AND <18.10.7) OR (>=18.11 AND <18.11.4) OR (>=19.0 AND <19.0.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Více informací:

• CVE-2026-6713 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-863: Incorrect Authorization at cwe.mitre.org

Zranitelnost byla veřejně oznámena 27. 5. 2026.