Kostenlos scannen

Diese Seite wurde noch nicht in Ihre Sprache übersetzt. Inhalte werden auf Englisch angezeigt, während wir daran arbeiten.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2026-6335CVSS 5.4

CVE-2026-6335: XSS in GitLab 18.11

Plattform

gitlab

Komponente

gitlab

Behoben in

18.11.3

Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2026-6335 is a Cross-Site Scripting (XSS) vulnerability affecting GitLab Community Edition (CE) and Enterprise Edition (EE). This flaw allows an authenticated user, under specific conditions, to execute arbitrary code within the browser session of another user. The vulnerability impacts GitLab versions 18.11.0 through 18.11.3, and a fix is available in version 18.11.3.

Auswirkungen und Angriffsszenarienwird übersetzt…

Successful exploitation of CVE-2026-6335 could allow an attacker to impersonate another user within GitLab, potentially gaining access to sensitive data or performing actions on their behalf. This could include viewing private repositories, modifying project settings, or even accessing administrative functions if the targeted user possesses elevated privileges. The impact is amplified if the targeted user has access to critical infrastructure or sensitive data, leading to a broader compromise of the GitLab instance. The ability to execute code within another user's browser session represents a significant security risk, as it bypasses traditional authentication mechanisms.

Ausnutzungskontextwird übersetzt…

CVE-2026-6335 was published on 2026-05-14. As of this date, there are no publicly known active campaigns exploiting this vulnerability. No public Proof-of-Concept (POC) code has been released. The vulnerability is not listed on KEV (Kernel Exploit Vulnerability) and has a low EPSS (Exploit Prediction Scoring System) score, indicating a relatively low probability of exploitation in the wild.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N5.4MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionRequiredOb ein Opfer eine Aktion ausführen mussScopeChangedAuswirkungen über die Komponente hinausConfidentialityLowRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Erforderlich — Opfer muss eine Datei öffnen, auf einen Link klicken oder eine Seite besuchen.
Scope
Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
Confidentiality
Niedrig — partieller oder indirekter Zugriff auf einige Daten.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentegitlab
HerstellerGitLab
Mindestversion18.11.0
Höchstversion18.11.3
Behoben in18.11.3

Schwachstellen-Klassifikation (CWE)

CWE-79

Zeitleiste

  1. Reserviert
  2. Veröffentlicht

Mitigation und Workaroundswird übersetzt…

The primary mitigation for CVE-2026-6335 is to immediately upgrade GitLab to version 18.11.3 or later. If upgrading is not immediately feasible, consider implementing stricter input validation on user-supplied data within GitLab. While not a direct fix, this can help reduce the attack surface. Review GitLab's security configuration and ensure that all security features are enabled and properly configured. Monitor GitLab logs for any suspicious activity that might indicate exploitation attempts.

So behebenwird übersetzt…

Actualice GitLab a la versión 18.11.3 o posterior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS). Esta actualización corrige la sanitización inadecuada de la entrada, previniendo la ejecución de código arbitrario en el navegador de otros usuarios.

Häufig gestellte Fragenwird übersetzt…

What is CVE-2026-6335 — XSS in GitLab 18.11?

CVE-2026-6335 is a Cross-Site Scripting (XSS) vulnerability in GitLab CE/EE versions 18.11.0 through 18.11.3. It allows an authenticated user to potentially execute code in another user's browser session.

Am I affected by CVE-2026-6335 in GitLab 18.11?

If you are running GitLab CE or EE versions 18.11.0, 18.11.1, 18.11.2, or 18.11.3, you are potentially affected by this vulnerability. Upgrade to 18.11.3 or later.

How do I fix CVE-2026-6335 in GitLab 18.11?

The recommended fix is to upgrade GitLab to version 18.11.3 or a later version. This patch addresses the improper sanitization issue.

Is CVE-2026-6335 being actively exploited?

As of 2026-05-14, there are no publicly known active campaigns exploiting this vulnerability, and no public POC code is available.

Where can I find the official GitLab advisory for CVE-2026-6335?

Refer to the official GitLab security advisory for CVE-2026-6335 on the GitLab website: [https://gitlab.com/security/advisories/](https://gitlab.com/security/advisories/)

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...