GitLab publikuje aktualizacje dla swoich produktów. (P26-049)

utworzone przez | lut 13, 2026 | Aktualizacje

ProduktGitLab Duo Self-Hosted AI Gateway – wersje wcześniejsze niż 18.8.1, 18.7.1 i 18.6.2
Numer CVECVE-2026-1868
Krytyczność9.9/10
CVSSAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
OpisKomponent Duo Workflow Service w GitLab AI Gateway w wersjach starszych niż 18.6.2, 18.7.1 i 18.8.1 jest podatny na niebezpieczną ekspansję szablonów danych dostarczonych przez użytkownika za pośrednictwem zmodyfikowanych definicji przepływów Duo Agent Platform. Wymagany jest uwierzytelniony dostęp do instancji GitLab. Ta luka może zostać wykorzystana do spowodowania odmowy usługi lub wykonania kodu w bramce.
  
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2026/02/06/patch-release-gitlab-ai-gateway-18-8-1-released/
ProduktGitLab Community Edition (CE) – wersje wcześniejsze niż 18.8.4, 18.7.4 i 18.6.6 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 18.8.4, 18.7.4 i 18.6.6
Numer CVECVE-2025-7659
Krytyczność8.0/10
CVSSAV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N
OpisGitLab usunął problem, który mógł umożliwić niezweryfikowanemu użytkownikowi kradzież tokenów i dostęp do prywatnych repozytoriów poprzez nadużywanie niepełnej walidacji w środowisku Web IDE.
  
Numer CVECVE-2025-8099
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
OpisGitLab usunął problem, który w pewnych okolicznościach mógł umożliwić niezautoryzowanemu użytkownikowi spowodowanie odmowy usługi poprzez wysyłanie powtarzających się zapytań GraphQL.
  
Numer CVECVE-2026-0958
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisGitLab usunął problem, który mógł umożliwić niezweryfikowanemu użytkownikowi spowodowanie odmowy usługi z powodu wyczerpania pamięci lub procesora przez ominięcie ograniczeń oprogramowania pośredniczącego walidacji JSON.
  
Numer CVECVE-2025-14560
Krytyczność7.3/10
CVSSAV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N)
OpisGitLab usunął problem, który w pewnych okolicznościach mógł umożliwić uwierzytelnionemu użytkownikowi wykonywanie nieautoryzowanych działań w imieniu innego użytkownika poprzez wstrzykiwanie treści do przepływu kodu podatności.
  
Numer CVECVE-2026-0595
Krytyczność7.3/10
CVSSAV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N
OpisGitLab usunął problem, który w pewnych warunkach mógł umożliwić uwierzytelnionemu użytkownikowi dodanie nieautoryzowanych adresów e-mail do kont użytkowników poprzez wstrzyknięcie kodu HTML w tytuły przypadków testowych.
  
Numer CVECVE-2026-1458
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
OpisGitLab usunął problem, który w pewnych okolicznościach mógł umożliwić niezautoryzowanemu użytkownikowi spowodowanie odmowy usługi poprzez przesłanie specjalnie spreparowanych plików.
  
Numer CVECVE-2026-1456
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisGitLab usunął problem, który mógł pozwolić niezweryfikowanemu użytkownikowi na spowodowanie odmowy usługi z powodu wyczerpania procesora poprzez przesłanie specjalnie spreparowanych plików Markdown, które wyzwalały wykładnicze przetwarzanie w podglądzie Markdown.
  
Numer CVECVE-2026-1387
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisGitLab usunął problem, który mógł umożliwić uwierzytelnionemu użytkownikowi spowodowanie odmowy usługi poprzez przesłanie specjalnie spreparowanego pliku do pulpitu nawigacyjnego i wielokrotne wysyłanie zapytań GraphQL w celu jego przeanalizowania.
  
Numer CVECVE-2025-12575
Krytyczność5.4/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
OpisGitLab usunął problem, który w pewnych warunkach mógł pozwolić uwierzytelnionemu użytkownikowi z określonymi uprawnieniami na dokonanie sfałszowania żądania po stronie serwera w odniesieniu do wewnętrznych usług sieciowych.
  
Numer CVECVE-2026-1094
Krytyczność4.6/10
CVSSAV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N
OpisGitLab usunął problem, który mógł umożliwić uwierzytelnionemu programiście ukrycie specjalnie spreparowanych zmian plików przed interfejsem WebUI.
  
Numer CVECVE-2025-12073
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
OpisGitLab usunął problem, który w pewnych okolicznościach mógł pozwolić uwierzytelnionemu użytkownikowi na dokonanie sfałszowania żądania po stronie serwera w odniesieniu do usług wewnętrznych poprzez ominięcie zabezpieczeń w funkcji importowania repozytorium Git.
  
Numer CVECVE-2026-1080
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
OpisGitLab usunął problem, który w pewnych warunkach mógł umożliwić uwierzytelnionemu użytkownikowi dostęp do danych iteracji z prywatnych grup potomnych poprzez zapytanie do punktu końcowego interfejsu API iteracji.
  
Numer CVECVE-2025-14592
Krytyczność3.7/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
OpisGitLab usunął problem, który w pewnych okolicznościach mógł umożliwić uwierzytelnionemu użytkownikowi wykonywanie nieautoryzowanych operacji poprzez przesyłanie mutacji GraphQL za pośrednictwem punktu końcowego interfejsu API GLQL.
  
Numer CVECVE-2026-1282
Krytyczność3.5/10
CVSSAV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N
OpisGitLab usunął problem, który mógł umożliwiać uwierzytelnionemu użytkownikowi wstrzykiwanie treści do tytułów etykiet projektu.
  
Numer CVECVE-2025-14594
Krytyczność3.5/10
CVSSAV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N
OpisGitLab usunął problem, który w pewnych warunkach mógł umożliwiać uwierzytelnionemu użytkownikowi przeglądanie niektórych wartości potoku poprzez zapytanie do interfejsu API.
  
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2026/02/10/patch-release-gitlab-18-8-4-released/