| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 18.9.2, 18.8.6 i 18.7.6 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 18.9.2, 18.8.6 i 18.7.6 |
| Numer CVE | CVE-2026-1090 |
| Krytyczność | 8.7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
| Opis | GitLab usunął problem, który mógł umożliwić uwierzytelnionemu użytkownikowi, gdy włączona była flaga funkcji markdown_placeholders, wstrzyknięcie kodu JavaScript do przeglądarki z powodu nieprawidłowego oczyszczania zawartości symbolu zastępczego podczas przetwarzania znaczników Markdown. |
| Numer CVE | CVE-2026-1069 |
| Krytyczność | 7.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Opis | GitLab usunął problem, który mógł umożliwić niezweryfikowanemu użytkownikowi spowodowanie odmowy usługi poprzez wysłanie specjalnie spreparowanych żądań GraphQL z powodu niekontrolowanej rekurencji w pewnych okolicznościach. |
| Numer CVE | CVE-2025-13929 |
| Krytyczność | 7.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Opis | GitLab usunął problem, który mógł umożliwić niezweryfikowanemu użytkownikowi spowodowanie odmowy usługi poprzez wysyłanie specjalnie spreparowanych żądań do punktów końcowych archiwum repozytorium w określonych warunkach. |
| Numer CVE | CVE-2025-14513 |
| Krytyczność | 7.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Opis | GitLab usunął problem, który mógł umożliwić niezweryfikowanemu użytkownikowi spowodowanie odmowy usługi z powodu nieprawidłowej walidacji danych wejściowych podczas przetwarzania specjalnie spreparowanych ładunków JSON w interfejsie API chronionych gałęzi. |
| Numer CVE | CVE-2025-13690 |
| Krytyczność | 6.5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | GitLab usunął problem, który mógł spowodować odmowę usługi przez uwierzytelnionego użytkownika z powodu nieprawidłowej walidacji danych wejściowych w nazwach niestandardowych nagłówków webhooków w pewnych okolicznościach. |
| Numer CVE | CVE-2025-12576 |
| Krytyczność | 6.5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | GitLab usunął problem, który w pewnych okolicznościach mógł umożliwić uwierzytelnionemu użytkownikowi spowodowanie odmowy usługi z powodu nieprawidłowego przetwarzania danych odpowiedzi webhook. |
| Numer CVE | CVE-2026-3848 |
| Krytyczność | 5.0/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N |
| Opis | GitLab usunął problem, który w pewnych okolicznościach mógł umożliwić uwierzytelnionemu użytkownikowi wysyłanie niezamierzonych żądań wewnętrznych za pośrednictwem środowisk proxy ze względu na nieprawidłową walidację danych wejściowych podczas importowania. |
| Numer CVE | CVE-2025-12555 |
| Krytyczność | 4.3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Opis | GitLab usunął problem, który w pewnych okolicznościach mógł umożliwić uwierzytelnionemu użytkownikowi dostęp do informacji o poprzednich zadaniach w potoku w projektach z wyłączonym repozytorium i CI/CD z powodu nieprawidłowych kontroli autoryzacji. |
| Numer CVE | CVE-2026-0602 |
| Krytyczność | 4.3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Opis | GitLab usunął problem, który w pewnych okolicznościach mógł umożliwić uwierzytelnionemu użytkownikowi ujawnienie metadanych z prywatnych zgłoszeń, żądań scalenia, epików, kamieni milowych lub zatwierdzeń z powodu nieprawidłowego filtrowania w procesie renderowania fragmentów kodu. |
| Numer CVE | CVE-2026-1732 |
| Krytyczność | 4.3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Opis | GitLab usunął problem, który w pewnych okolicznościach mógł umożliwić uwierzytelnionemu użytkownikowi ujawnienie poufnych tytułów zgłoszeń z powodu niewłaściwego filtrowania. |
| Numer CVE | CVE-2026-1663 |
| Krytyczność | 4.3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| Opis | GitLab usunął problem, który mógł umożliwić uwierzytelnionemu użytkownikowi z uprawnieniami do importowania grupy tworzenie etykiet w projektach prywatnych z powodu nieprawidłowej walidacji autoryzacji w procesie importowania grupy w pewnych okolicznościach. |
| Numer CVE | CVE-2026-1230 |
| Krytyczność | 4.1/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:N/I:L/A:N |
| Opis | GitLab usunął problem, który mógł spowodować, że uwierzytelniony użytkownik mógł spowodować, że pobrane pliki repozytorium zawierały inny kod niż ten wyświetlany w interfejsie internetowym. Powodem tego mogła być nieprawidłowa walidacja odniesień do gałęzi w pewnych okolicznościach. |
| Numer CVE | CVE-2025-12704 |
| Krytyczność | 3.5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N |
| Opis | GitLab usunął problem, który mógł umożliwić uwierzytelnionemu użytkownikowi dostęp do danych rejestru wirtualnego w grupach, do których nie był członkiem, z powodu nieprawidłowej autoryzacji w pewnych okolicznościach. |
| Numer CVE | CVE-2025-12697 |
| Krytyczność | 2.2/10 |
| CVSS | AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:N/A:N |
| Opis | GitLab usunął problem, który mógł pozwolić uwierzytelnionemu użytkownikowi z uprawnieniami roli konserwatora na ujawnienie poświadczeń API Datadog w określonych okolicznościach. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2026/03/11/patch-release-gitlab-18-9-2-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P26-083)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny