Die Schwachstelle betrifft die Softwareverwaltungs-Plattform GitLab CE/EE. Ursache ist eine unzureichende Prüfung von Pfadangaben: Unter bestimmten Bedingungen validiert die Anwendung einen Pfad nicht korrekt, wodurch sich beliebiger JavaScript-Code einschleusen lässt (Cross-Site-Scripting). Ausnutzen lässt sich der Fehler ohne vorherige Anmeldung – auch ein unauthentifizierter Angreifer kann ihn auslösen. Gelingt der Angriff, wird der eingeschleuste Code im Browser eines anderen Nutzers innerhalb dessen aktiver Sitzung ausgeführt. Damit agiert der Schadcode im Namen des Opfers und kann dessen Sitzungskontext missbrauchen, etwa um Aktionen mit dessen Rechten auszuführen oder auf Sitzungsdaten zuzugreifen. Betroffen sind sowohl die frei verfügbare Community Edition als auch die kommerzielle Enterprise Edition von GitLab.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel Wochenrückblick: DirtyClone im Linux-Kernel und weitere gravierende Schwachstellen 29.06.2026
- Artikel GitLab schließt 13 Sicherheitslücken in CE und EE 25.06.2026