CVE-2026-5796
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
W GitLab CE/EE wykryto podatność w funkcji pakietów grupowych, która umożliwia uwierzytelnionemu użytkownikowi z uprawnieniami Reportera w grupie przeglądanie metadanych pakietów z projektów, w których wyłączono rejestr pakietów. Problem wynika z nieprawidłowej weryfikacji autoryzacji i dotyczy wersji od 13.6 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.
Ocena ryzyka
Organizacja narażona jest na wyciek metadanych pakietów z projektów, które miały być chronione poprzez wyłączenie rejestru pakietów, co może prowadzić do ujawnienia informacji o wersjach oprogramowania lub zależnościach.
Rekomendacja
Należy niezwłocznie zaktualizować GitLab do wersji 18.11.6, 19.0.3 lub 19.1.1 w zależności od używanej gałęzi wydań.
Oryginalny opis (angielski, źródło NVD)
GitLab has remediated an issue in GitLab CE/EE affecting all versions from 13.6 before 18.11.6, 19.0 before 19.0.3, and 19.1 before 19.1.1 that under certain conditions could have allowed an authenticated user with Reporter-level group permissions to view package metadata from projects with the Package Registry disabled due to incorrect authorization checks in the group packages feature.

