Se han descubierto vulnerabilidades de severidad alta en productos GitLab. Un actor malicioso podría ejecutar mutaciones de GraphQL en nombre de usuarios autenticados, ejecutar código JavaScript arbitrario en el navegador de la víctima o acceder a tokens de seguridad en entornos de desarrollo.
Productos afectados
GitLab Community Edition (CE) y Enterprise Edition (EE):
- Versiones 18.11 anteriores a 18.11.1.
- Versiones 18.10 anteriores a 18.10.4.
- Versiones 16.1 y superiores anteriores a 18.9.6.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-4922: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de falsificación de solicitud entre sitios en la interfaz de programación de aplicaciones GraphQL. Un actor malicioso remoto podría ejecutar mutaciones de GraphQL en nombre de usuarios autenticados debido a una protección insuficiente, comprometiendo la integridad de las acciones realizadas en la plataforma.
CVE-2026-5816: con una puntuación de 8.0 en CVSS v3.1. Existe una vulnerabilidad de resolución incorrecta de equivalencia de rutas en los activos del entorno de desarrollo integrado. Un actor malicioso remoto podría ejecutar código JavaScript arbitrario en la sesión del navegador de un usuario legítimo bajo condiciones específicas de validación de rutas.
CVE-2026-5262: con una puntuación de 8.0 en CVSS v3.1. Existe una vulnerabilidad de inyección de scripts a través del sitio en Storybook. Un actor malicioso remoto podría, mediante una validación de entrada inadecuada, obtener acceso a tokens de seguridad dentro del entorno de desarrollo de Storybook.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias