Atualização de Segurança
GitLab liberou atualizações urgentes para as edições Community (CE) e Enterprise (EE) para corrigir 15 vulnerabilidades de segurança. As versões corrigidas são 18.9.2, 18.8.6 e 18.7.6. A atualização aborda falhas críticas de Cross-Site Scripting (XSS) e Denial-of-Service (DoS).
Vulnerabilidades Principais
A falha mais crítica é o CVE-2026-1090, um XSS de alta severidade (CVSS 8.7) no processamento de placeholders do Markdown quando a flag de recurso está habilitada. Um atacante autenticado pode injetar JavaScript malicioso, levando a ações não autorizadas ou sequestro de sessão.
Também foram corrigidas três falhas de DoS de alta severidade (CVSS 7.5):
- CVE-2026-1069: API GraphQL permite recursão descontrolada.
- CVE-2025-13929: Endpoint de arquivo do repositório.
- CVE-2025-14513: API de branches protegidas com validação de JSON inadequada.
Outras Correções
A atualização também resolve riscos de DoS em cabeçalhos personalizados de webhook (CVE-2025-13690) e endpoints de webhook (CVE-2025-12576). Além disso, neutraliza sequências CRLF inadequadas (CVE-2026-3848) e corrige problemas de controle de acesso na API de runners (CVE-2025-12555).
Ação Necessária
Administradores de instâncias auto-gerenciadas devem aplicar os patches imediatamente. Instâncias de nó único terão breve downtime durante migrações de banco de dados. Usuários do GitLab.com e GitLab Dedicated já estão protegidos. Relatórios detalhados serão públicos em 30 dias.