[TLP:CLEAR]
bollettino di sicurezza 93/2026
Aggiornamenti Gitlab
27-03-2026
gitlab, graphql, csrf, webauthn, jira
descrizione
Il bollettino segnala la correzione di dodici vulnerabilità in GitLab CE/EE, tra cui quattro ad alta gravità. Le principali sono CVE-2026-2370 (CVSS 8.1), che consente a utenti autenticati con privilegi minimi di ottenere credenziali Jira Connect e impersonare l’app GitLab, e CVE-2026-3857 (CVSS 8.1), che permette a utenti non autenticati di eseguire mutazioni GraphQL arbitrarie tramite CSRF insufficiente. CVE-2026-2995 consente HTML Injection in GitLab EE, mentre CVE-2026-3988 può causare denial of service tramite GraphQL API. Altre vulnerabilità di media e bassa gravità impattano autenticazione, autorizzazione, API e integrazioni esterne, tra cui CVE-2026-2745 (bypass WebAuthn 2FA) e CVE-2026-1724 (esposizione token API AI self-hosted).note
Le versioni impattate sono GitLab CE e EE precedenti alle release 18.10.1, 18.9.3 e 18.8.7. Le vulnerabilità principali riguardano l'esposizione di credenziali di integrazione Jira Connect, la possibilità di impersonificazione tramite GraphQL, HTML Injection e denial of service su GraphQL API. Ulteriori vulnerabilità impattano WebAuthn 2FA, configurazione CI, webhook, caching di autorizzazione e token API di modelli AI self-hosted. Il vendor raccomanda l'aggiornamento immediato di tutte le istanze self-managed, con priorità elevata per quelle esposte su Internet o integrate con sistemi esterni. Non sono segnalati exploit attivi in the wild al momento della pubblicazione. Nessun workaround alternativo è stato indicato dal vendor. Si raccomanda il monitoraggio degli accessi anomali, delle integrazioni esterne e delle API, oltre alla verifica dell'integrità delle configurazioni di autenticazione e autorizzazione.CVE
| CVE | CVSS-3.1 | CVSS-4.0 | EPSS |
|---|---|---|---|
| CVE-2026-1090 | 8.7 | -- | 0.064% | 19.80% |
| CVE-2025-13929 | 7.5 | -- | 0.048% | 14.92% |
| CVE-2025-14513 | 7.5 | -- | 0.039% | 11.80% |
| CVE-2026-1069 | 7.5 | -- | 0.029% | 8.09% |
| CVE-2025-12576 | 6.5 | -- | 0.041% | 12.41% |
| CVE-2025-13690 | 6.5 | -- | 0.068% | 20.88% |
| CVE-2026-3848 | 5.0 | -- | 0.017% | 4.11% |
| CVE-2025-12555 | 4.3 | -- | 0.014% | 2.69% |
| CVE-2026-0602 | 4.3 | -- | 0.014% | 2.69% |
| CVE-2026-1182 | 4.3 | -- | 0.021% | 5.70% |
| CVE-2026-1732 | 4.3 | -- | 0.021% | 5.46% |
| CVE-2026-1230 | 4.1 | -- | 0.043% | 13.36% |
| CVE-2025-12704 | 3.5 | -- | 0.013% | 2.12% |
| CVE-2025-12697 | 2.2 | -- | 0.013% | 2.02% |
tipi di attacco
| CWE | descrizione |
|---|---|
| CWE-79 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') |
| CWE-674 | Uncontrolled Recursion |
| CWE-770 | Allocation of Resources Without Limits or Throttling |
| CWE-1284 | Improper Validation of Specified Quantity in Input |
| CWE-93 | Improper Neutralization of CRLF Sequences ('CRLF Injection') |
| CWE-863 | Incorrect Authorization |
| CWE-288 | Authentication Bypass Using an Alternate Path or Channel |
| CWE-212 | Improper Removal of Sensitive Information Before Storage or Transfer |
| CWE-706 | Use of Incorrectly-Resolved Name or Reference |
| CWE-862 | Missing Authorization |
| CWE-116 | Improper Encoding or Escaping of Output |
prodotti impattati
| vendor | prodotto & versioni |
|---|---|
| gitlab | gitlab
|