[TLP:CLEAR] GitLab opravuje 8 zranitelností
GitLab verzemi 19.1.2, 19.0.4, 18.11.7 opravuje 8 zranitelností v produktech GitLab Community Edition (CE) a GitLab Enterprise Edition (EE) [1]. Nejzávažnější zranitelnosti jsou uvedené níže.
Autentizovanému vzdálenému útočníkovi s oprávněními vývojáře v GitLab EE je umožněno vykonat XSS útok v nástroji pro vykreslování tabulky evidence zranitelností [1][2].
Zranitelnost se nachází v produktu GitLab EE ve verzích (>=13.11 AND <18.11.7) OR (>=19.0 AND <19.0.4) OR (>=19.1 AND <19.1.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Více informací:
- CVE-2026-6896 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 7. 2026.
Autentizovanému vzdálenému útočníkovi s vyššími oprávněními v GitLab CE/EE je umožněno vykonat XSS útok při vykreslování markup syntaxe [1][3].
Zranitelnost se nachází v produktech:
- GitLab CE ve verzích (>=15.7 AND <18.11.7) OR (>=19.0 AND <19.0.4) OR (>=19.1 AND <19.1.2)
- GitLab EE ve verzích (>=15.7 AND <18.11.7) OR (>=19.0 AND <19.0.4) OR (>=19.1 AND <19.1.2)
CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N
Více informací:
- CVE-2026-13320 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 7. 2026.
Odkazy
Za CESNET-CERTS Táňa Macháčková dne 9. 7. 2026.