HIGHCVE-2026-7377CVSS 8.7

CVE-2026-7377: XSS in GitLab Customizable Analytics Dashboards

Plattform

gitlab

Komponente

gitlab

Behoben in

18.11.3

Auf NVD ansehen

Speichern

CVE-2026-7377 is a Cross-Site Scripting (XSS) vulnerability discovered in GitLab EE. This flaw allows an authenticated user to inject and execute arbitrary JavaScript code within the context of other users' browsers when interacting with customizable analytics dashboards. The vulnerability impacts versions 18.7.0 through 18.11.3 and has been resolved in version 18.11.3.

Auswirkungen und Angriffsszenarien

Successful exploitation of CVE-2026-7377 could lead to a wide range of malicious activities. An attacker could steal session cookies, enabling them to impersonate other users and gain unauthorized access to sensitive data and functionality within GitLab. They could also inject malicious scripts to redirect users to phishing sites, deface dashboards, or even execute arbitrary commands on the server if the browser has sufficient privileges. The blast radius extends to all users who interact with customizable analytics dashboards, making it a significant risk for organizations relying on GitLab for project management and collaboration.

Ausnutzungskontext

CVE-2026-7377 was published on 2026-05-14. Currently, there are no public exploits or active campaigns targeting this vulnerability. Its inclusion on KEV and EPSS score are pending evaluation. Monitor GitLab's security advisories and threat intelligence feeds for any updates regarding exploitation attempts.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt

CISA KEVNO

Internet-ExponierungHoch

Berichte1 Bedrohungsbericht

CISA SSVC

Ausnutzungnone

Automatisierbarno

Technische Auswirkungtotal

CVSS-Vektor

Was bedeuten diese Metriken?

Attack Vector: Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity: Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required: Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction: Erforderlich — Opfer muss eine Datei öffnen, auf einen Link klicken oder eine Seite besuchen.
Scope: Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
Confidentiality: Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity: Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
Availability: Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentegitlab

HerstellerGitLab

Mindestversion18.7.0

Höchstversion18.11.3

Behoben in18.11.3

Schwachstellen-Klassifikation (CWE)

CWE-79

Zeitleiste

Reserviert2026-04-29
Veröffentlicht2026-05-14

Mitigation und Workarounds

The primary mitigation for CVE-2026-7377 is to immediately upgrade GitLab EE to version 18.11.3 or later. If upgrading is not immediately feasible, consider restricting access to customizable analytics dashboards to trusted users only. Implement strict input validation and output encoding on all user-supplied data within the dashboards. While a WAF might offer some protection, it's not a substitute for patching the vulnerable GitLab instance. After upgrading, verify the fix by attempting to inject a simple JavaScript payload into a customizable analytics dashboard and confirming that it is properly sanitized.

So behebenwird übersetzt…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior. Esta actualización corrige una vulnerabilidad de Cross-Site Scripting (XSS) en los paneles analíticos personalizables, evitando la ejecución de código JavaScript malicioso en el navegador de otros usuarios.

Häufig gestellte Fragen

What is CVE-2026-7377 — XSS in GitLab Customizable Analytics Dashboards?

CVE-2026-7377 is a Cross-Site Scripting (XSS) vulnerability in GitLab EE affecting versions 18.7.0–18.11.3. It allows an authenticated user to execute JavaScript in other users' browsers via improper input sanitization in customizable analytics dashboards.

Am I affected by CVE-2026-7377 in GitLab Customizable Analytics Dashboards?

If you are running GitLab EE versions 18.7.0 through 18.11.3, you are potentially affected by this vulnerability. Check your GitLab version immediately and upgrade if necessary.

How do I fix CVE-2026-7377 in GitLab Customizable Analytics Dashboards?

Upgrade GitLab EE to version 18.11.3 or later to remediate the vulnerability. Restricting access to dashboards can be a temporary workaround if immediate patching isn't possible.

Is CVE-2026-7377 being actively exploited?

As of the current publication date, there are no reports of active exploitation of CVE-2026-7377. However, it's crucial to apply the patch promptly to prevent potential future attacks.

Where can I find the official GitLab advisory for CVE-2026-7377?

Refer to the official GitLab security advisory for CVE-2026-7377 on the GitLab website: [https://about.gitlab.com/security/advisories/](https://about.gitlab.com/security/advisories/)

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen CVEs suchen

liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...

Dateien durchsuchen