HIGHCVE-2026-7481CVSS 8.7

CVE-2026-7481: XSS in GitLab 16.4 - 18.11.3

Plattform

gitlab

Komponente

gitlab

Behoben in

18.11.3

Auf NVD ansehen

Speichern

CVE-2026-7481 describes a Cross-Site Scripting (XSS) vulnerability discovered in GitLab EE. This flaw allows an authenticated user with developer-role permissions to inject and execute arbitrary JavaScript code within the browsers of other GitLab users. The vulnerability impacts versions 16.4.0 through 18.11.3 and has been resolved in version 18.11.3.

Auswirkungen und Angriffsszenarien

Successful exploitation of CVE-2026-7481 could lead to a wide range of malicious activities. An attacker could steal session cookies, allowing them to impersonate other users and gain unauthorized access to sensitive data and functionality within GitLab. This could include modifying project settings, accessing confidential code repositories, or even exfiltrating data. The impact is particularly severe because the vulnerability requires only developer-role permissions, a relatively common role within many GitLab deployments, expanding the potential attack surface. The ability to execute arbitrary JavaScript effectively grants the attacker control over the victim's browser within the GitLab environment, enabling sophisticated attacks beyond simple information disclosure.

Ausnutzungskontext

CVE-2026-7481 was published on 2026-05-14. Severity is assessed as HIGH (CVSS: 8.7). No public proof-of-concept exploits have been publicly disclosed at the time of writing. It is not currently listed on KEV or EPSS, indicating a low to medium probability of active exploitation. Monitor security advisories and threat intelligence feeds for any updates regarding exploitation attempts.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt

CISA KEVNO

Internet-ExponierungHoch

Berichte1 Bedrohungsbericht

CISA SSVC

Ausnutzungnone

Automatisierbarno

Technische Auswirkungtotal

CVSS-Vektor

Was bedeuten diese Metriken?

Attack Vector: Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity: Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required: Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction: Erforderlich — Opfer muss eine Datei öffnen, auf einen Link klicken oder eine Seite besuchen.
Scope: Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
Confidentiality: Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity: Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
Availability: Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentegitlab

HerstellerGitLab

Mindestversion16.4.0

Höchstversion18.11.3

Behoben in18.11.3

Schwachstellen-Klassifikation (CWE)

CWE-79

Zeitleiste

Reserviert2026-04-30
Veröffentlicht2026-05-14

Mitigation und Workarounds

The primary mitigation for CVE-2026-7481 is to upgrade GitLab EE to version 18.11.3 or later. If an immediate upgrade is not feasible, consider implementing stricter input validation and output encoding within your GitLab instance to reduce the risk of XSS attacks. While not a complete solution, a Web Application Firewall (WAF) configured to block suspicious JavaScript payloads can provide an additional layer of defense. Regularly review and update GitLab's security configuration to ensure best practices are followed. After upgrading, confirm the fix by attempting to trigger the XSS payload in a test environment and verifying that the input is properly sanitized.

So behebenwird übersetzt…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS).  Esta actualización corrige la falta de sanitización adecuada de la entrada, previniendo la ejecución de código JavaScript malicioso en el navegador de otros usuarios.

Häufig gestellte Fragen

What is CVE-2026-7481 — XSS in GitLab?

CVE-2026-7481 is a Cross-Site Scripting (XSS) vulnerability affecting GitLab EE versions 16.4.0–18.11.3. It allows authenticated users with developer permissions to execute JavaScript in other users' browsers.

Am I affected by CVE-2026-7481 in GitLab?

You are affected if you are running GitLab EE versions 16.4.0 through 18.11.3. Versions prior to 18.11.3 are vulnerable to this XSS attack.

How do I fix CVE-2026-7481 in GitLab?

Upgrade GitLab EE to version 18.11.3 or later to remediate the vulnerability. Consider implementing stricter input validation as an interim measure.

Is CVE-2026-7481 being actively exploited?

Currently, there are no publicly known active exploitation campaigns targeting CVE-2026-7481, but continuous monitoring is recommended.

Where can I find the official GitLab advisory for CVE-2026-7481?

Refer to the official GitLab security advisory for CVE-2026-7481: [https://gitlab.com/security/advisories/CVE-2026-7481](https://gitlab.com/security/advisories/CVE-2026-7481)

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen CVEs suchen

liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...

Dateien durchsuchen