Katalog CVE

CVE-2026-9694

NiskieCVSS 2.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.01%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

GitLab naprawił problem w GitLab CE/EE, który dotyczy wszystkich wersji od 15.9 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach, nieautoryzowany użytkownik mógł podszyć się pod GitLab Support Bot i wstrzyknąć dowolną treść poprzez specjalnie przygotowaną odpowiedź e-mail w Service Desk z powodu niewłaściwego przetwarzania szablonów e-mail.

Ocena ryzyka

Podatność ta może prowadzić do nadużyć, gdzie nieautoryzowani użytkownicy mogą wprowadzać złośliwe treści, co może wpłynąć na reputację organizacji oraz bezpieczeństwo danych.

Rekomendacja

Zaleca się aktualizację GitLab do najnowszej wersji, aby usunąć tę podatność oraz przeglądanie i monitorowanie odpowiedzi e-mail w Service Desk w celu wykrycia potencjalnych nadużyć.

Oryginalny opis (angielski, źródło NVD)

GitLab has remediated an issue in GitLab CE/EE affecting all versions from 15.9 before 18.10.8, 18.11 before 18.11.5, and 19.0 before 19.0.2 that under certain conditions, could have allowed an unauthenticated user to impersonate the GitLab Support Bot and inject arbitrary content via a specially crafted Service Desk email reply due to improper neutralization in email template processing.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS