GitLab publikuje aktualizacje dla swoich produktów. (P26-111)

utworzone przez | mar 25, 2026 | Aktualizacje

ProduktGitLab Community Edition (CE) – wersje wcześniejsze niż 18.10.1, 18.9.3 i 18.8.7
GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 18.10.1, 18.9.3 i 18.8.7
Numer CVECVE-2026-2370
Krytyczność8.1/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
OpisGitLab usunął problem dotyczący instalacji Jira Connect, który mógł umożliwić uwierzytelnionemu użytkownikowi z minimalnymi uprawnieniami do obszaru roboczego uzyskanie poświadczeń instalacji i podszywanie się pod aplikację GitLab z powodu nieprawidłowych kontroli autoryzacji.
  
Numer CVECVE-2026-3857
Krytyczność8.1/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
OpisLuka wynika z warunku brzegowego w komponencie CSS w przeglądarce Google Chrome. Zdalny atakujący może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej strony internetowej, wywołać błąd odczytu poza zakresem i uzyskać dostęp do poufnych informacji.
  
Numer CVECVE-2026-2995
Krytyczność7.7/10
CVSSAV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
OpisGitLab usunął problem, który mógł umożliwić uwierzytelnionemu użytkownikowi dodanie adresów e-mail do kont użytkowników docelowych z powodu nieprawidłowego oczyszczania zawartości HTML.
  
Numer CVECVE-2026-3988
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisGitLab usunął problem, który mógł umożliwić niezweryfikowanemu użytkownikowi spowodowanie odmowy usługi poprzez spowodowanie braku reakcji instancji GitLab z powodu nieprawidłowej walidacji danych wejściowych podczas przetwarzania żądania GraphQL.
  
Numer CVECVE-2026-2745
Krytyczność6.8/10
CVSSAV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
OpisGitLab usunął problem, który mógł umożliwić niezweryfikowanemu użytkownikowi ominięcie dwuskładnikowego uwierzytelniania WebAuthn i uzyskanie nieautoryzowanego dostępu do kont użytkowników z powodu niespójnej walidacji danych wejściowych w procesie uwierzytelniania.
  
Numer CVECVE-2026-1724
Krytyczność6.8/10
CVSSAV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N
OpisGitLab usunął problem, który mógł umożliwić niezweryfikowanemu użytkownikowi dostęp do tokenów API samodzielnie hostowanych modeli AI z powodu niewłaściwej kontroli dostępu.
  
Numer CVECVE-2025-13436
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisGitLab usunął problem, który mógł spowodować odmowę usługi przez uwierzytelnionego użytkownika z powodu nadmiernego zużycia zasobów podczas obsługi niektórych danych wejściowych związanych z CI.
  
Numer CVECVE-2025-13078
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisGitLab usunął problem, który mógł umożliwić uwierzytelnionemu użytkownikowi spowodowanie odmowy usługi z powodu nadmiernego zużycia zasobów podczas przetwarzania niektórych danych konfiguracyjnych webhooków.
  
Numer CVECVE-2026-2973
Krytyczność5.4/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
OpisGitLab usunął problem, który mógł umożliwić uwierzytelnionemu użytkownikowi wykonanie dowolnego kodu JavaScript w przeglądarce użytkownika z powodu nieprawidłowej dezynfekcji zakodowanej zawartości encji w diagramach Mermaid.
  
Numer CVECVE-2026-2726
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
OpisGitLab usunął problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi wykonywanie nieautoryzowanych działań w przypadku żądań scalenia w innych projektach z powodu niewłaściwej kontroli dostępu podczas operacji międzyrepozytoryjnych.
  
Numer CVECVE-2025-14595
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
OpisGitLab usunął problem, który w pewnych okolicznościach mógł umożliwić uwierzytelnionemu użytkownikowi z rolą Planisty przeglądanie metadanych i atrybutów kategorii zabezpieczeń w konfiguracji zabezpieczeń grupy z powodu niewłaściwej kontroli dostępu.
  
Numer CVECVE-2026-4363
Krytyczność3.7/10
CVSSAV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N
OpisGitLab usunął problem, który w pewnych okolicznościach mógł umożliwić uwierzytelnionemu użytkownikowi uzyskanie nieautoryzowanego dostępu do zasobów z powodu nieprawidłowego buforowania decyzji autoryzacyjnych.
  
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2026/03/25/patch-release-gitlab-18-10-1-released/