CVE-2026-5952
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
W GitLab CE/EE wykryto podatność polegającą na nieprawidłowej weryfikacji autoryzacji, która w określonych warunkach umożliwia uwierzytelnionemu użytkownikowi z rolą dewelopera ominięcie reguł ochrony pakietów i nadpisanie chronionych metadanych pakietu Maven.
Ocena ryzyka
Ryzyko polega na możliwości naruszenia integralności chronionych pakietów Maven przez uprawnionego użytkownika, co może prowadzić do wstrzyknięcia złośliwego kodu lub nieautoryzowanej modyfikacji zależności w procesie CI/CD.
Rekomendacja
Należy niezwłocznie zaktualizować GitLab CE/EE do wersji 18.11.6, 19.0.3 lub 19.1.1 w zależności od używanej gałęzi wydań.
Oryginalny opis (angielski, źródło NVD)
GitLab has remediated an issue in GitLab CE/EE affecting all versions from 17.11 before 18.11.6, 19.0 before 19.0.3, and 19.1 before 19.1.1 that under certain conditions could have allowed an authenticated user with developer-role permissions to bypass package protection rules and overwrite protected Maven package metadata due to incorrect authorization checks.

