Katalog CVE

CVE-2026-5952

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

W GitLab CE/EE wykryto podatność polegającą na nieprawidłowej weryfikacji autoryzacji, która w określonych warunkach umożliwia uwierzytelnionemu użytkownikowi z rolą dewelopera ominięcie reguł ochrony pakietów i nadpisanie chronionych metadanych pakietu Maven.

Ocena ryzyka

Ryzyko polega na możliwości naruszenia integralności chronionych pakietów Maven przez uprawnionego użytkownika, co może prowadzić do wstrzyknięcia złośliwego kodu lub nieautoryzowanej modyfikacji zależności w procesie CI/CD.

Rekomendacja

Należy niezwłocznie zaktualizować GitLab CE/EE do wersji 18.11.6, 19.0.3 lub 19.1.1 w zależności od używanej gałęzi wydań.

Oryginalny opis (angielski, źródło NVD)

GitLab has remediated an issue in GitLab CE/EE affecting all versions from 17.11 before 18.11.6, 19.0 before 19.0.3, and 19.1 before 19.1.1 that under certain conditions could have allowed an authenticated user with developer-role permissions to bypass package protection rules and overwrite protected Maven package metadata due to incorrect authorization checks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS