CVE-2026-6277
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
GitLab naprawił problem w GitLab EE, który dotyczy wszystkich wersji od 13.9 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach, uwierzytelniony użytkownik z uprawnieniami roli Menedżera Bezpieczeństwa mógł zarządzać konfiguracją bezpieczeństwa projektu, nawet gdy odpowiednia funkcja była wyłączona, z powodu nieprawidłowego egzekwowania autoryzacji.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowane zmiany w konfiguracji bezpieczeństwa projektów, co może prowadzić do poważnych luk w zabezpieczeniach.
Rekomendacja
Zaleca się aktualizację GitLab do najnowszej wersji, aby usunąć tę podatność oraz przegląd uprawnień użytkowników z rolą Menedżera Bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
GitLab has remediated an issue in GitLab EE affecting all versions from 13.9 before 18.10.8, 18.11 before 18.11.5, and 19.0 before 19.0.2 that under certain conditions could have allowed an authenticated user with Security Manager-role permissions to manage project security configuration even when the relevant feature was in a disabled state, due to incorrect authorization enforcement.

