CVE-2026-0934
NiskieCVSS 3.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W GitLab EE wykryto podatność, która w określonych warunkach umożliwiała uwierzytelnionemu użytkownikowi z niestandardowymi uprawnieniami roli przeglądanie, tworzenie lub usuwanie konfiguracji chronionego środowiska, mimo że widoczność CI/CD była wyłączona dla projektu.
Ocena ryzyka
Ryzyko polega na nieautoryzowanym dostępie do wrażliwych konfiguracji środowisk, co może prowadzić do naruszenia integralności procesów CI/CD i potencjalnego wstrzyknięcia złośliwego kodu do środowisk produkcyjnych.
Rekomendacja
Należy niezwłocznie zaktualizować GitLab EE do wersji 18.11.6, 19.0.3 lub 19.1.1 w zależności od używanej gałęzi, a także przejrzeć i ograniczyć niestandardowe role użytkowników z uprawnieniami do zarządzania środowiskami.
Oryginalny opis (angielski, źródło NVD)
GitLab has remediated an issue in GitLab EE affecting all versions from 17.9 before 18.11.6, 19.0 before 19.0.3, and 19.1 before 19.1.1 that under certain conditions could have allowed an authenticated user with custom role permissions to view, create, or delete protected environment configurations despite CI/CD visibility being disabled for the project.

