CVE-2026-10712
WysokieCVSS 8.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 — wyżej niż 13% wszystkich znanych CVE
Streszczenie
Podatność w GitLab CE/EE umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu JavaScript w sesji przeglądarki użytkownika z powodu nieprawidłowej walidacji ścieżki. Problem dotyczy wersji od 18.10 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.
Ocena ryzyka
Atakujący może przejąć sesję użytkownika, wykraść dane lub wykonać nieautoryzowane działania w kontekście ofiary, co stanowi poważne zagrożenie dla poufności i integralności danych.
Rekomendacja
Niezwłocznie zaktualizuj GitLab do wersji 18.11.6, 19.0.3 lub 19.1.1 w zależności od używanej gałęzi. Nie ma dostępnych obejść, aktualizacja jest jedynym rozwiązaniem.
Oryginalny opis (angielski, źródło NVD)
GitLab has remediated an issue in GitLab CE/EE affecting all versions from 18.10 before 18.11.6, 19.0 before 19.0.3, and 19.1 before 19.1.1 that under certain conditions could have allowed an unauthenticated user to execute arbitrary JavaScript in a user's browser session due to improper path validation under certain conditions.

