Katalog CVE

CVE-2026-5796

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

W GitLab CE/EE wykryto podatność w funkcji pakietów grupowych, która umożliwia uwierzytelnionemu użytkownikowi z uprawnieniami Reportera w grupie przeglądanie metadanych pakietów z projektów, w których wyłączono rejestr pakietów. Problem wynika z nieprawidłowej weryfikacji autoryzacji i dotyczy wersji od 13.6 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

Ocena ryzyka

Organizacja narażona jest na wyciek metadanych pakietów z projektów, które miały być chronione poprzez wyłączenie rejestru pakietów, co może prowadzić do ujawnienia informacji o wersjach oprogramowania lub zależnościach.

Rekomendacja

Należy niezwłocznie zaktualizować GitLab do wersji 18.11.6, 19.0.3 lub 19.1.1 w zależności od używanej gałęzi wydań.

Oryginalny opis (angielski, źródło NVD)

GitLab has remediated an issue in GitLab CE/EE affecting all versions from 13.6 before 18.11.6, 19.0 before 19.0.3, and 19.1 before 19.1.1 that under certain conditions could have allowed an authenticated user with Reporter-level group permissions to view package metadata from projects with the Package Registry disabled due to incorrect authorization checks in the group packages feature.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS