Katalog CVE

CVE-2026-10086

WysokieCVSS 8.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

W GitLab EE wykryto podatność polegającą na niewłaściwym oczyszczaniu danych wejściowych użytkownika. Uwierzytelniony użytkownik z uprawnieniami dewelopera mógł, w określonych warunkach, wykonać dowolny kod po stronie klienta w kontekście sesji innego użytkownika.

Ocena ryzyka

Atakujący może przejąć sesję innego użytkownika, wykraść dane lub wykonać nieautoryzowane działania w jego imieniu, co stanowi poważne zagrożenie dla poufności i integralności danych w organizacji.

Rekomendacja

Należy niezwłocznie zaktualizować GitLab EE do wersji 18.11.6, 19.0.3 lub 19.1.1, w zależności od używanej gałęzi wydań.

Oryginalny opis (angielski, źródło NVD)

GitLab has remediated an issue in GitLab EE affecting all versions from 16.4 before 18.11.6, 19.0 before 19.0.3, and 19.1 before 19.1.1 that under certain conditions could have allowed an authenticated user with developer-role permissions to execute arbitrary client-side code in the context of another user's session, due to improper sanitization of user-supplied input.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS