CVE-2026-10086
WysokieCVSS 8.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
W GitLab EE wykryto podatność polegającą na niewłaściwym oczyszczaniu danych wejściowych użytkownika. Uwierzytelniony użytkownik z uprawnieniami dewelopera mógł, w określonych warunkach, wykonać dowolny kod po stronie klienta w kontekście sesji innego użytkownika.
Ocena ryzyka
Atakujący może przejąć sesję innego użytkownika, wykraść dane lub wykonać nieautoryzowane działania w jego imieniu, co stanowi poważne zagrożenie dla poufności i integralności danych w organizacji.
Rekomendacja
Należy niezwłocznie zaktualizować GitLab EE do wersji 18.11.6, 19.0.3 lub 19.1.1, w zależności od używanej gałęzi wydań.
Oryginalny opis (angielski, źródło NVD)
GitLab has remediated an issue in GitLab EE affecting all versions from 16.4 before 18.11.6, 19.0 before 19.0.3, and 19.1 before 19.1.1 that under certain conditions could have allowed an authenticated user with developer-role permissions to execute arbitrary client-side code in the context of another user's session, due to improper sanitization of user-supplied input.

