Zpětná vazba k reportu

Autentizovanému vzdálenému útočníkovi s rolí vlastníka skupiny je kvůli nesprávné autorizaci ve funkcionalitě správy identit Group SAML umožněno převzít účet jiného člena skupiny v GitLab EE [1].

Zranitelnost se nachází v produktu GitLab Enterprise Edition ve verzích (>=15.5 AND <18.10.8) OR (>=18.11 AND <18.11.5) OR (>=19.0 AND <19.0.2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Více informací:

• CVE-2026-6552 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-863: Incorrect Authorization at cwe.mitre.org

Zranitelnost byla veřejně oznámena 10. 6. 2026.

Autentizovanému vzdálenému útočníkovi s oprávněními role Developer je kvůli nesprávné sanitizaci vstupu v Analytics Dashboard umožněno zneužít zranitelnost typu XSS a spustit libovolný kód jménem cílového uživatele v GitLab EE [1].

Zranitelnost se nachází v produktu GitLab EE ve verzích (>=17.1 AND <18.10.8) OR (>=18.11 AND <18.11.5) OR (>=19.0 AND <19.0.2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

Více informací:

• CVE-2026-10087 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 10. 6. 2026.

Neautentizovanému vzdálenému útočníkovi je kvůli nesprávné validaci vstupu v middlewaru pro parsování API požadavků umožněno vykonat útok DoS v GitLab CE/EE [1].

Zranitelnost se nachází v produktech:

• GitLab Community Edition ve verzích (>=12.10 AND <18.10.8) OR (>=18.11 AND <18.11.5) OR (>=19.0 AND <19.0.2)
• GitLab Enterprise Edition ve verzích (>=12.10 AND <18.10.8) OR (>=18.11 AND <18.11.5) OR (>=19.0 AND <19.0.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

• CVE-2026-7250 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-20: Improper Input Validation at cwe.mitre.org

Zranitelnost byla veřejně oznámena 10. 6. 2026.

Autentizovanému vzdálenému útočníkovi je kvůli nesprávné sanitizaci uživatelského vstupu v některých polích nastavení skupiny umožněno zneužít zranitelnost typu HTML injection a přidat neoprávněné e-mailové adresy k účtu cílového uživatele v GitLab EE [1].

Zranitelnost se nachází v produktu GitLab Enterprise Edition ve verzích (>=13.1.4 AND <=18.10.8) OR (>=18.11 AND <18.11.5) OR (>=19.0 AND <19.0.2).

CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N

Více informací:

• CVE-2026-8589 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) at cwe.mitre.org

Zranitelnost byla veřejně oznámena 10. 6. 2026.

Autentizovanému vzdálenému útočníkovi je kvůli nekontrolované spotřebě prostředků při zpracování speciálně upraveného souboru umožněno vykonat útok DoS v GitLab CE/EE [1].

Zranitelnost se nachází v produktech:

• GitLab Community Edition ve verzích (>=17.10 AND <18.10.8) OR (>=18.11 AND <18.11.5) OR (>=19.0 AND <19.0.2)
• GitLab Enterprise Edition ve verzích (>=17.10 AND <18.10.8) OR (>=18.11 AND <18.11.5) OR (>=19.0 AND <19.0.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Více informací:

• CVE-2026-1500 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org

Zranitelnost byla veřejně oznámena 10. 6. 2026.

Autentizovanému vzdálenému útočníkovi s oprávněními role Developer je kvůli nesprávnému vynucování autorizace v Merge Requests API umožněno upravovat skryté merge requesty v GitLab CE/EE [1].

Zranitelnost se nachází v produktech:

• GitLab Community Edition ve verzích (>=15.10 AND <18.10.8) OR (>=18.11 AND <18.11.5) OR (>=19.0 AND <19.0.2)
• GitLab Enterprise Edition ve verzích (>=15.10 AND <18.10.8) OR (>=18.11 AND <18.11.5) OR (>=19.0 AND <19.0.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Více informací:

• CVE-2026-6269 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-863: Incorrect Authorization at cwe.mitre.org

Zranitelnost byla veřejně oznámena 10. 6. 2026.