O GitLab lançou atualizações de segurança para as edições Community Edition (CE) e Enterprise Edition (EE) que corrigem 13 vulnerabilidades, incluindo três bugs de alta severidade.
A mais grave é a CVE-2026-10086, uma falha de XSS (Cross-Site Scripting, ou script entre sites) no painel de Analytics do GitLab EE, causada pela sanitização inadequada de entradas fornecidas pelo usuário.
Segundo o GitLab, a falha de segurança poderia ter permitido que um usuário autenticado com permissões de desenvolvedor executasse código arbitrário no lado do cliente no contexto das sessões de outros usuários.
Em seguida está a CVE-2026-10712, um XSS no manipulador de assets do workbench Web IDE (ambiente de desenvolvimento integrado na web) que poderia ter permitido que atacantes não autenticados executassem código JavaScript nas sessões de navegador dos usuários.
A terceira vulnerabilidade de alta severidade é a CVE-2026-12053, descrita como uma filtragem de saída insuficiente no Duo Workflows, que poderia ter permitido que usuários acessassem informações sensíveis já commitadas em um projeto.
As novas atualizações do GitLab CE/EE também corrigem sete falhas de severidade média, incluindo bypass de autorização, autorização incorreta, filtragem insuficiente, validação inadequada de entrada e problemas de controle de acesso inapropriado.
A exploração bem-sucedida dessas falhas poderia ter resultado em adulteração de configurações, divulgação de informações confidenciais, exfiltração de segredos de perfil de site DAST (Dynamic Application Security Testing, teste dinâmico de segurança de aplicações), gravação de informações sensíveis em logs, ocultação de conteúdo, sobrescrita de metadados de pacotes Maven e divulgação de metadados de pacotes.
As correções para todas essas falhas foram incluídas nas versões 19.1.1, 19.0.3 e 18.11.6 do GitLab CE/EE. Os usuários são aconselhados a atualizar suas implantações o mais rápido possível.
"Estas versões contêm correções importantes de bugs e segurança, e recomendamos fortemente que todas as instalações autogerenciadas do GitLab sejam atualizadas imediatamente para uma dessas versões. O GitLab.com já está rodando a versão corrigida", afirma o GitLab.
