Zpětná vazba k reportu

Autentizovanému vzdialenému útočníkovi s oprávneniami roly Developer je za určitých podmienok v dôsledku nedostatočnej sanitizácie vstupu od používateľa umožnené spustiť ľubovoľný klientsky kód v kontexte relácie iného používateľa [1].

Zraniteľnosť sa nachádza v produkte GitLab EE vo verziách (>=16.4 AND <18.11.6) OR (>=19.0 AND <19.0.3) OR (>=19.1 AND <19.1.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

Viac informácií:

• CVE-2026-10086 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-264: Permissions, Privileges, and Access Controls at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 24. 6. 2026.

Neautentizovanému vzdialenému útočníkovi je za určitých podmienok v dôsledku nesprávnej validácie cesty umožnené spustiť ľubovoľný JavaScript v prehliadači používateľa [1].

Zraniteľnosť sa nachádza v produkte GitLab CE/EE vo verziách (>=18.10 AND <18.11.6) OR (>=19.0 AND <19.0.3) OR (>=19.1 AND <19.1.1).

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N

Viac informácií:

• CVE-2026-10712 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 24. 6. 2026.

Autentizovanému vzdialenému útočníkovi s nízkymi oprávneniami je za určitých podmienok v dôsledku nedostatočného filtrovania výstupu v Duo Workflows umožnené získať prístup k citlivým informáciám, ktoré už boli uložené do repozitára [1].

Zraniteľnosť sa nachádza v produkte GitLab EE vo verziách >=19.1 AND <19.1.1.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

Viac informácií:

• CVE-2026-12053 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-532: Insertion of Sensitive Information into Log File at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 24. 6. 2026.