GitLab CE/EE opravuje 12 zraniteľností

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] GitLab CE/EE opravuje 12 zraniteľností

GitLab verziami 18.10.3, 18.9.5 a 18.8.9 opravuje 12 zraniteľností v produktoch GitLab Community Edition (CE) a Enterprise Edition (EE) [1]. Najzávažnejšie zraniteľnosti sú uvedené nižšie.

GitLab - improper access control (CVE-2026-5173)

CVSS 8.5 (High)

Autentizovanému vzdialenému útočníkovi je v dôsledku chyby v oprávneniach umožnené vyvolávať interné funkcie servera, čo môže viesť k úniku citlivých údajov [1].

Zraniteľnosť sa nachádza v produktoch:

GitLab Community Edition vo verziách (>=16.9.6 AND <18.8.9) OR (>=18.9 AND <18.9.5) OR (>=18.10 AND <18.10.3)
GitLab Enterprise Edition vo verziách (>=16.9.6 AND <18.8.9) OR (>=18.9 AND <18.9.5) OR (>=18.10 AND <18.10.3)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N

Viac informácií:

CVE-2026-5173 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-749: Exposed Dangerous Method or Function at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 8. 4. 2026.

GitLab - DoS (CVE-2026-1092)

CVSS 7.5 (High)

Neautentizovanému vzdialenému útočníkovi je v dôsledku nedostatočnej validácie JSON vstupov umožnené vykonať DoS útok prostredníctvom API na uzamknutie stavu infraštruktúry [1].

Zraniteľnosť sa nachádza v produktoch:

GitLab Community Edition vo verziách (>=12.10 AND <18.8.9) OR (>=18.9 AND <18.9.5) OR (>=18.10 AND <18.10.3)
GitLab Enterprise Edition vo verziách (>=12.10 AND <18.8.9) OR (>=18.9 AND <18.9.5) OR (>=18.10 AND <18.10.3)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

CVE-2026-1092 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-1284: Improper Validation of Specified Quantity in Input at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 8. 4. 2026.

GitLab - DoS (CVE-2025-12664 )

CVSS 7.5 (High)

Neautentizovanému vzdialenému útočníkovi je v dôsledku zasielania opakovaných požiadaviek na rozhranie pre dopytovanie dát umožnené vykonať DoS útok [1].

Zraniteľnosť sa nachádza v produktoch:

GitLab Community Edition vo verziách (>=13.0 AND <18.8.9) OR (>=18.9 AND <18.9.5) OR (>=18.10 AND <18.10.3)
GitLab Enterprise Edition vo verziách (>=13.0 AND <18.8.9) OR (>=18.9 AND <18.9.5) OR (>=18.10 AND <18.10.3)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

CVE-2025-12664 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-1284: Improper Validation of Specified Quantity in Input at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 8. 4. 2026.

Odkazy

[1] https://about.gitlab.com/releases/2026/04/08/patch-release-gitlab-18-10-3-released/

Za CESNET-CERTS Henrieta Paločková dňa 9. 4. 2026.

Zpětná vazba k reportu

[TLP:CLEAR] GitLab CE/EE opravuje 12 zraniteľností

GitLab - improper access control (CVE-2026-5173)

CVSS 8.5 (High)

GitLab - DoS (CVE-2026-1092)

CVSS 7.5 (High)

GitLab - DoS (CVE-2025-12664 )

CVSS 7.5 (High)

Odkazy