[TLP:CLEAR]
bollettino di sicurezza 70/2026
Aggiornamenti GitLab CE/EE
26-02-2026
gitlab, xss, dos, access control, ci/cd
descrizione
GitLab ha pubblicato le versioni 18.9.1, 18.8.5 e 18.7.5 per CE/EE, correggendo vulnerabilità di sicurezza rilevanti. Le CVE più significative includono: CVE-2026-0752 (XSS in Mermaid sandbox, gravità alta, CVSS 8.0), CVE-2025-14511 (DoS tramite container registry), CVE-2026-1662 (DoS in Jira events endpoint), CVE-2026-1388 (ReDoS in merge requests) e CVE-2026-2845 (assenza di rate limit in Bitbucket importer). Ulteriori vulnerabilità sanate riguardano access control e DoS in diverse API.È raccomandato l'aggiornamento a una delle versioni indicate per tutte le installazioni self-managed. Nessuna azione richiesta per GitLab.com e clienti GitLab Dedicated.
La priorità dell'applicazione di queste patch è elevata data la severità e la vasta superficie di attacco interessata, specialmente in presenza di istanze esposte pubblicamente.
note
Le vulnerabilità corrette permettevano attacchi XSS e DoS anche a utenti non autenticati su API critiche; threat surface e rischio operativi notevoli fino all'applicazione della patch.CVE
| CVE | score | severity | CVSS |
|---|---|---|---|
| CVE-2026-0752 | 8.0 | high | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N |
| CVE-2025-14511 | 7.5 | high | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-1662 | 7.5 | high | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-1388 | 7.5 | high | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-2845 | 6.5 | medium | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| CVE-2025-3525 | 6.5 | medium | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-1725 | 5.3 | medium | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| CVE-2026-1747 | 4.3 | medium | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| CVE-2025-14103 | 4.3 | medium | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
tipi di attacco
| CWE | descrizione |
|---|---|
| CWE-79 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') |
| CWE-1284 | Improper Validation of Specified Quantity in Input |
| CWE-770 | Allocation of Resources Without Limits or Throttling |
| CWE-1333 | Inefficient Regular Expression Complexity |
| CWE-288 | Authentication Bypass Using an Alternate Path or Channel |
| CWE-862 | Missing Authorization |
prodotti impattati
| vendor | prodotto & versioni |
|---|---|
| gitlab | gitlab
|