CVE-2026-6976
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 15.9 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach, uwierzytelniony użytkownik z uprawnieniami dewelopera mógł ukryć zmiany w widokach różnic zgłoszeń scalania z powodu niewłaściwego przetwarzania nazw plików.
Ocena ryzyka
Organizacja może być narażona na ryzyko, że użytkownicy z uprawnieniami dewelopera będą mogli manipulować widokami różnic, co może prowadzić do nieautoryzowanych zmian w kodzie. To może wpłynąć na integralność projektu oraz zaufanie do systemu kontroli wersji.
Rekomendacja
Zaleca się aktualizację GitLab do najnowszej wersji, aby usunąć tę podatność. Należy również przeprowadzić audyt uprawnień użytkowników, aby upewnić się, że tylko odpowiednie osoby mają dostęp do krytycznych funkcji.
Oryginalny opis (angielski, źródło NVD)
GitLab has remediated an issue in GitLab CE/EE affecting all versions from 15.9 before 18.10.8, 18.11 before 18.11.5, and 19.0 before 19.0.2 that under certain conditions could have allowed an authenticated user with developer-role permissions to hide changes from merge request diff views due to improper input handling of file names.

