GitLab publikuje aktualizacje dla swoich produktów. (P26-188)

utworzone przez | maj 15, 2026 | Aktualizacje

ProduktGitLab Community Edition (CE) – wersje wcześniejsze niż 18.11.3, 18.10.6 i 18.9.7
GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 18.11.3, 18.10.6 i 18.9.7
Numer CVECVE-2026-7481
Krytyczność8.7/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
OpisGitLab naprawił problem, który mógł umożliwić uwierzytelnionemu użytkownikowi z uprawnieniami programisty wykonanie dowolnego kodu JavaScript w przeglądarkach innych użytkowników z powodu nieprawidłowej sanityzacji danych wejściowych.
  
Numer CVECVE-2026-5297
Krytyczność8.7/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
OpisGitLab naprawił problem, który mógł umożliwić uwierzytelnionemu użytkownikowi wykonanie dowolnego kodu JavaScript w przeglądarkach innych użytkowników z powodu nieprawidłowej sanityzacji danych wejściowych.
  
Numer CVECVE-2026-6073
Krytyczność8.7/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
OpisGitLab naprawił problem, który mógł umożliwić uwierzytelnionemu użytkownikowi wykonanie dowolnego kodu JavaScript w przeglądarkach innych użytkowników z powodu nieprawidłowej sanityzacji danych wejściowych.
  
Numer CVECVE-2026-7377
Krytyczność8.7/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
OpisGitLab naprawił problem, który w konfigurowalnych panelach analitycznych mógł umożliwić uwierzytelnionemu użytkownikowi wykonanie dowolnego kodu JavaScript w przeglądarkach innych użytkowników z powodu nieprawidłowej sanityzacji danych wejściowych.
  
Numer CVECVE-2026-1659
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisGitLab naprawił problem, który mógł umożliwić nieuwierzytelnionemu użytkownikowi spowodowanie odmowy usługi poprzez wysłanie specjalnie spreparowanych żądań z powodu niewystarczającej walidacji danych wejściowych.
  
Numer CVECVE-2025-14870
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisGitLab naprawił problem, który mógł umożliwić nieuwierzytelnionemu użytkownikowi spowodowanie odmowy usługi poprzez wysłanie specjalnie spreparowanych danych JSON z powodu niewystarczającej walidacji danych wejściowych.
  
Numer CVECVE-2025-14869
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisGitLab naprawił problem, który mógł umożliwić nieuwierzytelnionemu użytkownikowi spowodowanie odmowy usługi poprzez wysłanie specjalnie spreparowanych ładunków w niektórych punktach końcowych API.
  
Numer CVECVE-2026-1322
Krytyczność6.8/10
CVSSAV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
OpisGitLab naprawił problem, który mógł umożliwić uwierzytelnionemu użytkownikowi aplikacji OAuth o zakresie read_api tworzenie zgłoszeń i dodawanie komentarzy do zgłoszeń w projektach prywatnych z powodu nieprawidłowej autoryzacji.
  
Numer CVECVE-2026-1184
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisGitLab naprawił problem, który mógł umożliwić nieuwierzytelnionemu użytkownikowi spowodowanie odmowy usługi poprzez przesłanie specjalnie spreparowanego pliku z powodu nieprawidłowej walidacji.
  
Numer CVECVE-2026-4524
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
OpisGitLab naprawił problem, który mógł umożliwić uwierzytelnionemu użytkownikowi dostęp do poufnych treści zgłoszeń w projektach publicznych bez odpowiedniego uwierzytelnienia z powodu nieprawidłowej weryfikacji uwierzytelnienia.
  
Numer CVECVE-2026-8280
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisGitLab naprawił problem, który mógł umożliwić uwierzytelnionemu użytkownikowi spowodowanie odmowy usługi poprzez nadmierne zużycie pamięci z powodu nieprawidłowej walidacji danych wejściowych.
  
Numer CVECVE-2026-4527
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
OpisGitLab naprawił problem, który mógł umożliwić nieuwierzytelnionemu użytkownikowi utworzenie nieautoryzowanych subskrypcji Jira dla przestrzeni nazw docelowego użytkownika za pośrednictwem specjalnie spreparowanego łącza z powodu braku ochrony CSRF.
  
Numer CVECVE-2026-3160
Krytyczność5.8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N
OpisGitLab naprawił problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi przeglądanie zgłoszeń Jira poza skonfigurowanym zakresem projektu, z powodu filtra integracji działającego jedynie jako element sterujący wyświetlaniem, a nie wymuszającego określonych granic dostępu.
  
Numer CVECVE-2026-6335
Krytyczność5.4/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
OpisGitLab naprawił problem, który w pewnych warunkach mógł umożliwiać uwierzytelnionemu użytkownikowi wykonanie dowolnego kodu w sesji przeglądarki innego użytkownika z powodu nieprawidłowego czyszczenia.
  
Numer CVECVE-2025-12669
Krytyczność5.4/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
OpisGitLab usunął problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi wstrzyknięcie kodu HTML i JavaScript do powiadomień e-mail wysyłanych do innych użytkowników z powodu nieprawidłowego oczyszczania danych wejściowych.
  
Numer CVECVE-2026-3607
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
OpisGitLab naprawił problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi z uprawnieniami roli programisty ominięcie reguł ochrony pakietów z powodu nieprawidłowej kontroli dostępu.
  
Numer CVECVE-2026-3074
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
OpisGitLab naprawił problem, który mógł umożliwiać nieuwierzytelnionemu użytkownikowi pobieranie prywatnych symboli debugowania z niedostępnych projektów z powodu nieprawidłowej kontroli dostępu.
  
Numer CVECVE-2026-1338
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
OpisGitLab naprawił problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi z uprawnieniami programisty usuwanie chronionych tagów rejestru kontenerów z powodu nieprawidłowych kontroli autoryzacji.
  
Numer CVECVE-2026-8144
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
OpisGitLab naprawił problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi z członkostwem w projekcie enumerowanie członków grupy prywatnej z powodu braku kontroli autoryzacji.
  
Numer CVECVE-2026-6063
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
OpisGitLab naprawił problem, który w pewnych warunkach mógł umożliwić uwierzytelnionemu użytkownikowi z uprawnieniami programisty usunięcie reguł zatwierdzania właściciela kodu z żądań scalenia z powodu nieprawidłowej kontroli dostępu.
  
Numer CVECVE-2026-3073
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
OpisGitLab naprawił problem, który mógł umożliwić uwierzytelnionemu użytkownikowi z uprawnieniami programisty ominięcie reguł ochrony pakietów PyPI i przesłanie ograniczonych pakietów z powodu nieprawidłowej kontroli autoryzacji.
  
Numer CVECVE-2025-13874
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
OpisGitLab naprawił problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi z uprawnieniami gościa przeglądanie zgłoszeń w projektach, do których nie miał uprawnień dostępu.
  
Numer CVECVE-2026-7471
Krytyczność3.5/10
CVSSAV:N/AC:H/PR:L/UI:N/S:C/C:L/I:N/A:N
OpisGitLab naprawił problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi kontrolującemu rejestr wirtualny na wysyłanie żądań do hostów wewnętrznych z powodu nieprawidłowej walidacji.
  
Numer CVECVE-2026-2900
Krytyczność2.7/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
OpisGitLab naprawił problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi z uprawnieniami administratora modyfikowanie lub usuwanie reguł zatwierdzania projektu po włączeniu funkcji zapobiegania edycji reguł zatwierdzania na poziomie instancji z powodu braku kontroli autoryzacji.
  
Numer CVECVE-2026-6883
Krytyczność2.6/10
CVSSAV:N/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:N
OpisGitLab naprawił problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi ominięcie wymagań zatwierdzenia żądania scalenia z powodu nieprawidłowego czyszczenia osieroconych rekordów zasad.
  
AktualizacjaTAK
Linkhttps://docs.gitlab.com/releases/patches/patch-release-gitlab-18-11-3-released/