Kostenlos scannen

Diese Seite wurde noch nicht in Ihre Sprache übersetzt. Inhalte werden auf Englisch angezeigt, während wir daran arbeiten.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2026-1184CVSS 6.5

CVE-2026-1184: Insecure Deserialization in GitLab

Plattform

gitlab

Komponente

gitlab

Behoben in

18.11.3

Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2026-1184 addresses an Insecure Deserialization vulnerability discovered in GitLab EE. This flaw allows an unauthenticated user to induce a denial of service (DoS) by uploading a specially crafted file. The vulnerability impacts GitLab EE versions ranging from 11.9.0 through 18.11.3, and is resolved in version 18.11.3.

Auswirkungen und Angriffsszenarienwird übersetzt…

Successful exploitation of CVE-2026-1184 allows an attacker to disrupt GitLab services, rendering them unavailable to legitimate users. The attacker does not require authentication, significantly broadening the potential attack surface. The denial of service can manifest as system instability, performance degradation, or complete service outage. While the vulnerability doesn't directly lead to data exfiltration or code execution, the disruption of GitLab services can severely impact development workflows and project timelines. The impact is amplified in environments where GitLab is a critical component of the software development lifecycle.

Ausnutzungskontextwird übersetzt…

CVE-2026-1184 was published on 2026-05-14. Its severity is currently assessed as Medium (CVSS 6.5). No public proof-of-concept (POC) code has been publicly released as of this writing. There are no indications of active exploitation campaigns targeting this vulnerability. The vulnerability is not currently listed on CISA Known Exploited Vulnerabilities (KEV) catalog.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H6.5MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityNoneRisiko der Offenlegung sensibler DatenIntegrityNoneRisiko nicht autorisierter DatenänderungAvailabilityHighRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Keine — kein Vertraulichkeitseinfluss.
Integrity
Keine — kein Integritätseinfluss.
Availability
Hoch — vollständiger Absturz oder Ressourcenerschöpfung. Totaler Denial of Service.

Betroffene Software

Komponentegitlab
HerstellerGitLab
Mindestversion11.9.0
Höchstversion18.11.3
Behoben in18.11.3

Schwachstellen-Klassifikation (CWE)

CWE-502

Zeitleiste

  1. Reserviert
  2. Veröffentlicht

Mitigation und Workaroundswird übersetzt…

The primary mitigation for CVE-2026-1184 is to upgrade GitLab EE to version 18.11.3 or later. If immediate upgrade is not feasible, consider implementing temporary workarounds such as restricting file uploads from unauthenticated users or implementing stricter file validation rules. Review GitLab's file upload policies and ensure they are enforced. Monitor GitLab logs for suspicious file upload activity. After upgrading, verify the fix by attempting a file upload with a known malicious payload (in a controlled environment) to confirm the vulnerability is no longer exploitable.

So behebenwird übersetzt…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad de deserialización de datos no confiables. Esta actualización corrige la validación incorrecta de archivos cargados, previniendo posibles ataques de denegación de servicio.

Häufig gestellte Fragenwird übersetzt…

What is CVE-2026-1184 — Insecure Deserialization in GitLab?

CVE-2026-1184 is a Medium severity vulnerability in GitLab EE allowing unauthenticated users to trigger a denial of service by uploading a crafted file due to improper validation. It affects versions 11.9.0–18.11.3.

Am I affected by CVE-2026-1184 in GitLab?

You are affected if you are running GitLab EE versions 11.9.0 through 18.11.3. Versions prior to 18.11.3 are vulnerable to denial of service attacks.

How do I fix CVE-2026-1184 in GitLab?

Upgrade GitLab EE to version 18.11.3 or later to resolve the vulnerability. Consider temporary workarounds like restricting unauthenticated file uploads if immediate upgrade is not possible.

Is CVE-2026-1184 being actively exploited?

As of the current assessment, there are no indications of active exploitation campaigns targeting CVE-2026-1184.

Where can I find the official GitLab advisory for CVE-2026-1184?

Refer to the official GitLab security advisory for CVE-2026-1184 on the GitLab website: [https://gitlab.com/security/advisories/](https://gitlab.com/security/advisories/)

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...