-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in GitLab Community Edition en Enterprise Edition
Advisory ID     : NCSC-2026-0211
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2026-0934, CVE-2026-1606, CVE-2026-2238,
                  CVE-2026-3176, CVE-2026-5309, CVE-2026-5796,
                  CVE-2026-5952, CVE-2026-8330, CVE-2026-10086,
                  CVE-2026-10712, CVE-2026-11379, CVE-2026-12053,
                  CVE-2026-12635
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Neutralization of Input During Web Page
                  Generation ('Cross-site Scripting')
                  Improper Control of Generation of Code ('Code
                  Injection')
                  Reliance on Reverse DNS Resolution for a Security-
                  Critical Action
                  Insertion of Sensitive Information into Log File
                  Authorization Bypass Through User-Controlled Key
                  Missing Authorization
                  Incorrect Authorization
Uitgiftedatum   : 20260625
Toepassing      : GitLab Community Edition, Enterprise Edition
Versie(s)       :
Platform(s)     :

Beschrijving
   GitLab Inc. heeft meerdere kwetsbaarheden verholpen in GitLab
   Enterprise Edition (EE) en andere GitLab versies, specifiek in
   releases van versie 8.3 tot en met 19.1.1, met nadruk op versies rond
   18.11.6, 19.0.3 en 19.1.1.

   De kwetsbaarheden betreffen verschillende onderdelen van GitLab,
   waaronder de package management system, DAST site profile management,
   CI/CD API endpoints, Snippet feature, mirror synchronisatie, en
   project issue tracking. Diverse problemen zijn gerelateerd aan
   onjuiste autorisatiecontroles, onvoldoende validatie van input en
   output, en onjuiste filtering van gevoelige data. Hierdoor kunnen
   gebruikers met beperkte of geauthenticeerde rechten onder andere:
   - toegang krijgen tot metadata van pakketten ondanks uitgeschakelde
   registraties,
   - beveiligingsregels voor pakketten omzeilen en metadata
   overschrijven,
   - geheimen uit DAST site profielen uitlezen,
   - cross-site scripting (XSS) aanvallen uitvoeren via onvoldoende
   padvalidatie en input sanitatie,
   - beschermde omgevingsconfiguraties benaderen of wijzigen ondanks
   zichtbaarheid-instellingen,
   - verborgen of ongeautoriseerde inhoud in Snippets plaatsen,
   - gevoelige projectinformatie inzien zonder juiste rechten,
   - client-side code injecteren in sessies van andere gebruikers,
   - gevoelige informatie in logs laten verschijnen door onvoldoende
   filtering,
   - vertrouwelijke issue-referenties op publieke projecten benaderen
   zonder authenticatie,
   - interne netwerkresources benaderen via mirror synchronisatie door
   onvoldoende URL-validatie,
   - en virtuele registry cleanup policies van andere groepen aanpassen
   door onvoldoende toegangscontrole.
   Deze kwetsbaarheden zijn aanwezig in meerdere opeenvolgende versies
   van GitLab en betreffen zowel authenticatie- als
   autorisatieproblemen, alsmede input- en outputvalidatie.

Mogelijke oplossingen
   GitLab heeft updates en patches uitgebracht voor de genoemde versies
   om de diverse kwetsbaarheden te verhelpen door verbeterde
   autorisatiecontroles, input- en outputvalidatie, en filtering van
   gevoelige data te implementeren. Zie bijgevoegde referenties voor
   meer informatie.

   Referenties:
      Reference
      https://docs.gitlab.com/releases/patches/patch-release-
      gitlab-19-1-1-released/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=Zo5x
-----END PGP SIGNATURE-----