CVE-2026-9694
NiskieCVSS 2.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
GitLab naprawił problem w GitLab CE/EE, który dotyczy wszystkich wersji od 15.9 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach, nieautoryzowany użytkownik mógł podszyć się pod GitLab Support Bot i wstrzyknąć dowolną treść poprzez specjalnie przygotowaną odpowiedź e-mail w Service Desk z powodu niewłaściwego przetwarzania szablonów e-mail.
Ocena ryzyka
Podatność ta może prowadzić do nadużyć, gdzie nieautoryzowani użytkownicy mogą wprowadzać złośliwe treści, co może wpłynąć na reputację organizacji oraz bezpieczeństwo danych.
Rekomendacja
Zaleca się aktualizację GitLab do najnowszej wersji, aby usunąć tę podatność oraz przeglądanie i monitorowanie odpowiedzi e-mail w Service Desk w celu wykrycia potencjalnych nadużyć.
Oryginalny opis (angielski, źródło NVD)
GitLab has remediated an issue in GitLab CE/EE affecting all versions from 15.9 before 18.10.8, 18.11 before 18.11.5, and 19.0 before 19.0.2 that under certain conditions, could have allowed an unauthenticated user to impersonate the GitLab Support Bot and inject arbitrary content via a specially crafted Service Desk email reply due to improper neutralization in email template processing.

