-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in GitLab door GitLab Inc. Advisory ID : NCSC-2026-0161 Versie : 1.00 Kans : medium CVE ID : CVE-2025-12669, CVE-2025-13874, CVE-2025-14869, CVE-2025-14870, CVE-2026-1184, CVE-2026-1322, CVE-2026-1338, CVE-2026-1659, CVE-2026-2900, CVE-2026-3073, CVE-2026-3074, CVE-2026-3160, CVE-2026-3607, CVE-2026-4524, CVE-2026-4527, CVE-2026-5297, CVE-2026-6063, CVE-2026-6073, CVE-2026-6335, CVE-2026-6883, CVE-2026-7377, CVE-2026-7471, CVE-2026-7481, CVE-2026-8144, CVE-2026-8280 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Improper Control of Generation of Code ('Code Injection') Authentication Bypass Using an Alternate Path or Channel Cross-Site Request Forgery (CSRF) Unintended Proxy or Intermediary ('Confused Deputy') Deserialization of Untrusted Data Authorization Bypass Through User-Controlled Key Allocation of Resources Without Limits or Throttling Business Logic Errors Missing Authorization Server-Side Request Forgery (SSRF) Access Control Check Implemented After Asset is Accessed Improper Validation of Specified Quantity in Input Uitgiftedatum : 20260515 Toepassing : GitLab Community Edition, Enterprise Edition Versie(s) : Platform(s) : Beschrijving GitLab Inc. heeft meerdere kwetsbaarheden verholpen in GitLab Community Edition (CE) en Enterprise Edition (EE) in diverse versies, met name in releases van versie 8.3 tot en met 18.11.3. De kwetsbaarheden betreffen verschillende componenten en functionaliteiten binnen GitLab, waaronder de Jira-integratie, container registry, virtual registry upstreams, merge request approval policies, debugging symbol downloads, analytics dashboards, package management, issue tracking, project- en groepslidmaatschapsbeheer, en API inputvalidatie. Aanvallers kunnen onder meer: - Authenticeerde gebruikers kunnen Jira-issues buiten hun projecttoegang bekijken door onvoldoende toegangscontrole. - Ongeauthenticeerde gebruikers kunnen zonder CSRF-bescherming ongeautoriseerde Jira-subscripties aanmaken. - Ongeauthenticeerde gebruikers kunnen door onvoldoende inputvalidatie een denial-of-service veroorzaken via speciaal opgemaakte verzoeken of uploads. - Authenticeerde gebruikers met ontwikkelaarsrechten kunnen beschermde container registry tags verwijderen en package protection regels omzeilen. - Authenticeerde gebruikers kunnen merge request goedkeuringsvereisten omzeilen door het verwijderen van approval rules. - Ongeautoriseerde toegang tot interne hosts is mogelijk via virtual registry upstreams door onvoldoende validatie. - Cross-site scripting (XSS) aanvallen zijn mogelijk door onvoldoende inputsanitatie in analytics dashboards, e-mail notificaties en andere gebruikersinvoervelden. - OAuth tokens met read_api scope kunnen misbruikt worden om issues in private projecten aan te maken en te becommentariƫren. - Authenticeerde gebruikers met Guest-permissies kunnen toegang krijgen tot projectissues die beperkt zouden moeten zijn. - Ongeautoriseerde gebruikers kunnen private groepslidmaatschappen enumereren. Deze kwetsbaarheden zijn aanwezig in meerdere opeenvolgende versies van GitLab CE en EE, wat wijst op terugkerende problemen in toegangscontrole, inputvalidatie en autorisatie binnen het platform. Mogelijke oplossingen GitLab Inc. heeft updates en patches uitgebracht voor de genoemde versies om de diverse kwetsbaarheden te verhelpen. Gebruikers wordt geadviseerd de meest recente updates te installeren om de beveiliging van hun GitLab-omgevingen te waarborgen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://docs.gitlab.com/releases/patches/patch-release- gitlab-18-11-3-released/ Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmoHCy0ACgkQgupWoL0Z hGGPKAwArER995PdHoiWgwZZSn8a7m2NveDP+zn39oVdedHiuyJYZ1gn4FYdBxzQ fEGGnI7t970PllGPdTGdgqATsKO3HZ+7sUUtdQ5QgHb7syv5tTm94k3KiqtiPCVr AHO4uLH4SRnVfyIZ3EXa4MOcjQTTrt3ZsOkxxw81elJz/f4p7mWor3KSUvBjqNaS DIFZJvNUFGRTCdY6BR/4dVNDr0RUWH+LmIu9PkFJDD7MyFZhlthV9Px4Kl/75Kld U/6F4EL34tSHHHpejyM1wqWFNQA3rd/k6NTU/UnVKIgijS9AYahzJSS0nYLN6sTG IsxNWXvCMqbzzPDLBD52FjORuPx1w1lXUQaW294ZVS7HpsCQgYlS26GSKefVm01X IujF6EPnhWSWvW67Uj6l4Pt74XSIpyqvok4dWK5JXdRKNpa5T0kURWEKL7J/uNdq E5xCvbYG1fSSx4tSul++exaIpTLab1V7xqlaant4ODefLY1F8WXclMA/ctCP2rk1 ZR4xjUyA =fflg -----END PGP SIGNATURE-----