-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in GitLab EE en CE
Advisory ID     : NCSC-2026-0128
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2025-0186, CVE-2025-3922, CVE-2025-6016,
                  CVE-2025-9957, CVE-2026-1660, CVE-2026-3254,
                  CVE-2026-4922, CVE-2026-5262, CVE-2026-5377,
                  CVE-2026-5816, CVE-2026-6515
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Resolution of Path Equivalence
                  Improper Neutralization of Input During Web Page
                  Generation ('Cross-site Scripting')
                  Cross-Site Request Forgery (CSRF)
                  Insufficient Session Expiration
                  Allocation of Resources Without Limits or Throttling
                  Incorrect Authorization
                  Improper Restriction of Rendered UI Layers or Frames
Uitgiftedatum   : 20260423
Toepassing      : GitLab GitLab
Versie(s)       :
Platform(s)     :

Beschrijving
   GitLab Inc. heeft meerdere kwetsbaarheden verholpen in GitLab
   Community Edition en Enterprise Edition, specifiek in versies
   variërend van 9.2 tot voor 18.11.1, inclusief diverse 18.x releases.

   De kwetsbaarheden betreffen verschillende componenten van GitLab,
   waaronder de discussions endpoint, GraphQL API, note retrieval, issue
   import, Mermaid sandbox, Storybook development environment, issue
   rendering, web interface en Virtual Registries. Geauthenticeerde
   gebruikers kunnen door onvoldoende resource limits of onjuiste
   inputvalidatie resource-exhaustie veroorzaken, wat leidt tot Denial-
   of-Service. Daarnaast zijn er problemen met onjuiste
   autorisatiecontroles waardoor project owners group fork preventie
   kunnen omzeilen, en met onvoldoende CSRF-bescherming waardoor
   ongeauthenticeerde gebruikers GraphQL mutaties kunnen uitvoeren.
   Verder is er een cross-site scripting (XSS) kwetsbaarheid die
   ongeauthenticeerde gebruikers toestaat om JavaScript code in de
   browser van een gebruiker uit te voeren. Ook kunnen gebruikers door
   onjuiste toegangscontrole de titels van vertrouwelijke issues in
   publieke projecten inzien en toegang krijgen tot Virtual Registries
   via onjuist gescopeerde credentials. Sommige kwetsbaarheden maken het
   mogelijk om ongeautoriseerde content te injecteren in browser sessies
   van andere gebruikers. De kwetsbaarheden zijn aanwezig in meerdere
   opeenvolgende versies en betreffen zowel Community als Enterprise
   edities van GitLab.

Mogelijke oplossingen
   GitLab Inc. heeft updates en patches uitgebracht in versies vanaf
   18.9.6, 18.10.4 en 18.11.1 om deze kwetsbaarheden te verhelpen. Zie
   bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference
      https://about.gitlab.com/releases/2026/04/22/patch-release-
      gitlab-18-11-1-released/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=GQDf
-----END PGP SIGNATURE-----