A GitLab lançou atualizações de segurança emergenciais para as edições Community (CE) e Enterprise (EE) da plataforma, abordando múltiplas falhas relacionadas ao Duo AI, negação de serviço (DoS) e problemas de autorização em versões recentes. As correções foram distribuídas em 27 de maio de 2026, com o lançamento das versões 19.0.1, 18.11.4 e 18.10.7 para instâncias auto-hospedadas.
Escopo e impacto das vulnerabilidades corrigidas
O problema mais severo identificado é uma falha de controle de acesso de alto impacto nos workflow runners do Duo AI, rastreada como CVE-2026-4868. Esta vulnerabilidade afeta a GitLab EE nas versões 18.8 até, mas não incluindo, 18.10.7, 18.11.4 e 19.0.1. Sob condições específicas, um usuário autenticado poderia desencadear certos workflows do Duo AI para executar sob a identidade de outro usuário devido à resolução inadequada da identidade do usuário na lógica do workflow runner. A pontuação CVSS 3.1 é de 8.2, indicando um risco alto.
Se não corrigida, essa falha poderia permitir movimento lateral ou abuso de privilégios dentro de workflows assistidos por IA. Isso representa um risco significativo para ambientes de CI/CD onde a automação de tarefas sensíveis é comum, pois um atacante poderia comprometer pipelines de construção ou deploy usando a identidade de um usuário privilegiado.
Além disso, a GitLab corrigiu uma vulnerabilidade de negação de serviço no componente Wiki, rastreada como CVE-2026-1402. Esta falha impacta as versões CE/EE da 17.1 até as versões não corrigidas 18.10, 18.11 e 19.0. Devido à validação insuficiente de entrada, um usuário autenticado poderia criar conteúdo que esgota os recursos e torna o Wiki indisponível, com pontuação CVSS de 6.5.
Em paralelo, o CVE-2026-6713 aborda verificações de autorização incorretas na API GraphQL WorkItem, que poderiam permitir que usuários não autenticados enumerem projetos privados sob certas condições, com pontuação CVSS de 5.3. Várias questões de autorização de média severidade também foram resolvidas nas operações da GitLab EE e recursos Duo.
Análise técnica detalhada das falhas de autorização
O CVE-2026-5296 corrige autorização inadequada na API Duo Workflows, que poderia permitir que um usuário com função de desenvolvedor contornasse restrições de fluxo quando fluxos fundamentais estão habilitados em nível de grupo. O CVE-2026-2601 corrige verificações de autorização ausentes que poderiam expor dados de implantação sensíveis a usuários com nível de desenvolvedor.
Adicionalmente, o CVE-2026-8716 corrige um comportamento de resolução de nome incorreto em pipelines que poderia permitir o acesso a dados de CI de um tipo de ref diferente. O CVE-2026-2710 garante que Tokens de Acesso de Projeto bloqueados não possam acessar recursos privados por meio de certos endpoints de autenticação.
Todas essas falhas são remediadas nas versões 19.0.1, 18.11.4 e 18.10.7, que também agrupam múltiplas correções de estabilidade e desempenho, incluindo atualizações para zlib, nginx, Mattermost, indexador Elasticsearch e GitLab Shell. As atualizações não introduzem novas migrações de banco de dados e, em implantações típicas de vários nós, podem ser implementadas sem tempo de inatividade seguindo as orientações de zero tempo de inatividade da GitLab.
Repercussão e implicações para a segurança de DevSecOps
A GitLab.com já está executando a versão corrigida, e os clientes GitLab Dedicated não precisam tomar nenhuma ação. No entanto, organizações que executam versões afetadas são fortemente aconselhadas a priorizar atualizações, monitorar suas instâncias para abuso de recursos Duo AI ou Wiki e alinhar-se com as melhores práticas publicadas pela GitLab para proteger implantações auto-hospedadas.
A correção de falhas em componentes de IA integrados como o Duo AI destaca a crescente necessidade de segurança em ferramentas de desenvolvimento que incorporam inteligência artificial. A capacidade de um usuário autenticado de executar workflows sob outra identidade é particularmente preocupante em ambientes onde a automação de CI/CD é crítica para a entrega de software.
Medidas de mitigação recomendadas
Administradores devem atualizar imediatamente para as versões 19.0.1, 18.11.4 ou 18.10.7. É essencial revisar as permissões de usuário e grupos, especialmente aquelas relacionadas ao Duo AI e workflows de desenvolvimento. O monitoramento de logs de acesso e atividade de API deve ser intensificado para detectar tentativas de exploração das vulnerabilidades corrigidas.
Além disso, as organizações devem revisar suas políticas de acesso a projetos privados e garantir que tokens de acesso bloqueados não sejam reutilizados. A atualização de componentes subjacentes como nginx e zlib também é crucial para mitigar riscos de segurança adicionais que podem ser explorados em conjunto com as vulnerabilidades da GitLab.
O que os CISOs devem fazer imediatamente
1. Priorizar a atualização das instâncias auto-hospedadas para as versões corrigidas. 2. Revisar as permissões de usuários com funções de desenvolvedor e acesso a workflows de IA. 3. Monitorar logs de autenticação e atividade de API para comportamentos anômalos. 4. Implementar segmentação de rede para limitar o acesso a componentes críticos como o indexador Elasticsearch. 5. Revisar as políticas de segurança de CI/CD para garantir que workflows de IA não sejam explorados para movimento lateral.
A GitLab enfatiza que a segurança de suas plataformas é uma prioridade contínua e que as correções de emergência são lançadas para proteger os usuários contra ameaças ativas. A atualização rápida é a melhor defesa contra a exploração dessas vulnerabilidades em ambientes de produção.