Im Mittelpunkt des Updates steht CVE-2026-10086, eine XSS-Schwachstelle im Analytics-Dashboard von GitLab EE. Nach Angaben von GitLab liegt die Ursache in einer fehlerhaften Bereinigung von Benutzereingaben. Die Lücke hätte es einem authentifizierten Nutzer mit Entwicklerrechten ermöglichen können, beliebigen clientseitigen Code innerhalb der Sitzungen anderer Anwender auszuführen.
Die zweite hoch eingestufte Schwachstelle, CVE-2026-10712, betrifft den Asset-Handler der Web IDE Workbench. Hier hätte ein nicht authentifizierter Angreifer JavaScript-Code in Browsersitzungen von Nutzern ausführen können. Ebenfalls mit hohem Schweregrad führt GitLab CVE-2026-12053, die als unzureichende Ausgabefilterung in Duo Workflows beschrieben wird. Darüber hätten Nutzer auf sensible Informationen zugreifen können, die bereits in ein Projekt eingecheckt worden waren.
Neben diesen drei schwerwiegenden Lücken schließen die neuen Versionen sieben Schwachstellen mit mittlerem Schweregrad. GitLab nennt dabei unter anderem eine Umgehung von Autorisierungen, fehlerhafte Autorisierung, unzureichende Filterung, fehlerhafte Eingabevalidierung und unzureichende Zugriffskontrolle.
Bei erfolgreicher Ausnutzung dieser Fehler hätte es laut GitLab zu Manipulationen an Einstellungen, zur Offenlegung vertraulicher Informationen, zur Exfiltration von Geheimnissen aus DAST-Site-Profilen, zur Protokollierung sensibler Informationen, zur Verschleierung von Inhalten, zum Überschreiben von Maven-Paketmetadaten sowie zur Offenlegung von Paketmetadaten kommen können.
Korrekturen für alle genannten Schwachstellen hat GitLab in GitLab CE/EE 19.1.1, 19.0.3 und 18.11.6 bereitgestellt. Das Unternehmen schreibt: „Diese Versionen enthalten wichtige Fehlerbehebungen und Sicherheitskorrekturen, und wir empfehlen dringend, dass alle selbstverwalteten GitLab-Installationen unverzüglich auf eine dieser Versionen aktualisiert werden. GitLab.com läuft bereits mit der gepatchten Version.“