A GitLab lançou atualizações de segurança para as edições Community (CE) e Enterprise (EE) que resolvem 13 vulnerabilidades, incluindo três falhas de alta gravidade que poderiam permitir execução de código arbitrário e divulgação de informações sensíveis. A empresa recomenda que todas as instalações autogerenciadas sejam atualizadas imediatamente para as versões 19.1.1, 19.0.3 ou 18.11.6, que já estão disponíveis e contêm as correções necessárias.
A vulnerabilidade mais crítica, registrada como CVE-2026-10086, é uma falha de XSS no painel Analytics do GitLab EE, originada pela sanitização inadequada de entrada fornecida pelo usuário. De acordo com a GitLab, a falha poderia permitir que um usuário autenticado com direitos de desenvolvedor executasse código arbitrário no lado do cliente no contexto das sessões de outros usuários. A segunda falha, CVE-2026-10712, também é um XSS, mas no manipulador de ativos do Web IDE, que poderia ser explorado por atacantes não autenticados para executar código JavaScript nas sessões dos navegadores das vítimas.
Outras Vulnerabilidades e Recomendações
A terceira falha de alta gravidade, CVE-2026-12053, refere-se à filtragem insuficiente de saída no Duo Workflows, permitindo que usuários acessassem informações sensíveis já confirmadas em um projeto. Além dessas, as atualizações corrigem sete vulnerabilidades de severidade média, incluindo problemas de bypass de autorização, controle de acesso inadequado e filtragem insuficiente. A exploração bem-sucedida dessas falhas poderia levar a adulteração de configurações, divulgação de informações confidenciais, exfiltração de segredos de perfis DAST, gravação de dados sensíveis em logs, ocultação de conteúdo e divulgação de metadados de pacotes Maven.
A GitLab observa que a versão GitLab.com já está executando a versão corrigida e reforça que as correções contêm importantes correções de bugs e segurança, recomendando fortemente que todas as instalações autogerenciadas sejam atualizadas imediatamente para uma das versões mencionadas.
