Katalog CVE

CVE-2026-12635

NieznaneCVSS 0.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 - wyżej niż 5% wszystkich znanych CVE

Streszczenie

W GitLab CE/EE wykryto podatność, która w określonych warunkach umożliwiała uwierzytelnionemu użytkownikowi z rolą maintainera wysyłanie żądań do wewnętrznych zasobów sieciowych poprzez synchronizację mirrorów. Problem wynika z nieprawidłowej walidacji adresów URL i dotyczy wersji od 8.3 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

Ocena ryzyka

Atakujący z rolą maintainera może wykorzystać tę podatność do skanowania lub atakowania wewnętrznych zasobów sieciowych organizacji, co może prowadzić do wycieku danych lub dalszej eskalacji uprawnień.

Rekomendacja

Należy niezwłocznie zaktualizować GitLab do wersji 18.11.6, 19.0.3 lub 19.1.1 w zależności od używanej gałęzi. W międzyczasie warto ograniczyć uprawnienia maintainera tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

GitLab has remediated an issue in GitLab CE/EE affecting all versions from 8.3 before 18.11.6, 19.0 before 19.0.3, and 19.1 before 19.1.1 that under certain conditions could have allowed an authenticated user with maintainer-role permissions to make requests to internal network resources through mirror synchronization due to improper URL validation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS