Kostenlos scannen

Diese Seite wurde noch nicht in Ihre Sprache übersetzt. Inhalte werden auf Englisch angezeigt, während wir daran arbeiten.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2026-3160CVSS 5.8

CVE-2026-3160: Information Disclosure in GitLab

Plattform

gitlab

Komponente

gitlab

Behoben in

18.11.3

Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2026-3160 describes an information disclosure vulnerability affecting GitLab Community Edition (CE) and Enterprise Edition (EE). This flaw allows authenticated users to view Jira issues that fall outside the intended project scope, effectively bypassing access controls. The vulnerability impacts versions 13.7.0 through 18.11.3, and a fix is available in version 18.11.3.

Auswirkungen und Angriffsszenarienwird übersetzt…

The primary impact of CVE-2026-3160 is unauthorized access to Jira issue data. An attacker, already authenticated within GitLab, could leverage this vulnerability to view Jira issues associated with other projects or teams they are not explicitly authorized to access. This could expose sensitive information such as bug reports, feature requests, or internal discussions. The blast radius is limited to the Jira integration within GitLab; however, the potential for data leakage remains significant, particularly in organizations where Jira is used to manage critical project information. This vulnerability highlights the importance of proper access control enforcement within integrated systems.

Ausnutzungskontextwird übersetzt…

CVE-2026-3160 was published on May 14, 2026. Its severity is currently assessed as medium. No public proof-of-concept (POC) code has been released as of this writing. There are no indications of active exploitation campaigns targeting this vulnerability. The vulnerability is not currently listed on CISA’s Known Exploited Vulnerabilities (KEV) catalog.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

CISA SSVC

Ausnutzungnone
Automatisierbaryes
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N5.8MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeChangedAuswirkungen über die Komponente hinausConfidentialityLowRisiko der Offenlegung sensibler DatenIntegrityNoneRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
Confidentiality
Niedrig — partieller oder indirekter Zugriff auf einige Daten.
Integrity
Keine — kein Integritätseinfluss.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentegitlab
HerstellerGitLab
Mindestversion13.7.0
Höchstversion18.11.3
Behoben in18.11.3

Schwachstellen-Klassifikation (CWE)

CWE-441

Zeitleiste

  1. Reserviert
  2. Veröffentlicht

Mitigation und Workaroundswird übersetzt…

The recommended mitigation for CVE-2026-3160 is to immediately upgrade GitLab to version 18.11.3 or later. If upgrading is not immediately feasible, consider temporarily disabling the Jira integration until the upgrade can be performed. Review existing Jira integration configurations to ensure that access controls are properly enforced at the Jira level. While a WAF or proxy cannot directly prevent this vulnerability, they can be configured to monitor for unusual Jira access patterns that might indicate exploitation. After upgrading, verify the fix by attempting to access Jira issues outside the expected project scope; access should be denied.

So behebenwird übersetzt…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema de 'Confused Deputy' que permitía a usuarios autenticados acceder a información de Jira fuera del alcance del proyecto configurado.

Häufig gestellte Fragenwird übersetzt…

What is CVE-2026-3160 — Information Disclosure in GitLab?

CVE-2026-3160 is a medium severity vulnerability in GitLab affecting versions 13.7.0–18.11.3. It allows authenticated users to view Jira issues outside the configured project scope, bypassing access controls.

Am I affected by CVE-2026-3160 in GitLab?

You are affected if you are running GitLab CE or EE versions 13.7.0 through 18.11.3. Versions prior to 18.11.3 are vulnerable to information disclosure.

How do I fix CVE-2026-3160 in GitLab?

Upgrade GitLab to version 18.11.3 or later to remediate the vulnerability. If immediate upgrade is not possible, temporarily disable the Jira integration.

Is CVE-2026-3160 being actively exploited?

As of the current assessment, there are no indications of active exploitation campaigns targeting CVE-2026-3160.

Where can I find the official GitLab advisory for CVE-2026-3160?

Refer to the official GitLab security advisory for CVE-2026-3160 on the GitLab website: [https://gitlab.com/security/advisories/CVE-2026-3160](https://gitlab.com/security/advisories/CVE-2026-3160)

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...