Kostenlos scannen

Diese Seite wurde noch nicht in Ihre Sprache übersetzt. Inhalte werden auf Englisch angezeigt, während wir daran arbeiten.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

HIGHCVE-2026-7481CVSS 8.7

CVE-2026-7481: XSS in GitLab 16.4 - 18.11.3

Plattform

gitlab

Komponente

gitlab

Behoben in

18.11.3

Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2026-7481 describes a Cross-Site Scripting (XSS) vulnerability discovered in GitLab EE. This flaw allows an authenticated user possessing developer-role permissions to inject and execute arbitrary JavaScript code within the browsers of other GitLab users. The vulnerability impacts versions ranging from 16.4.0 through 18.11.3, and a patch is available in version 18.11.3.

Auswirkungen und Angriffsszenarienwird übersetzt…

Successful exploitation of CVE-2026-7481 could lead to a wide range of malicious activities. An attacker could steal session cookies, allowing them to impersonate other users and gain unauthorized access to sensitive data and functionality. They could also deface GitLab pages, redirect users to phishing sites, or inject malware. The impact is particularly severe because the vulnerability requires only developer-role permissions, a relatively common role within GitLab environments, expanding the potential attack surface significantly. This vulnerability shares similarities with other XSS vulnerabilities where user input is not properly sanitized before being rendered in a web page.

Ausnutzungskontextwird übersetzt…

CVE-2026-7481 was published on 2026-05-14. Its severity is rated HIGH with a CVSS score of 8.7. There are currently no publicly known Proof-of-Concept (POC) exploits available. The vulnerability is not listed on KEV or EPSS, suggesting a low to medium probability of active exploitation at this time. Monitor security advisories and threat intelligence feeds for any updates regarding exploitation attempts.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte1 Bedrohungsbericht

CISA SSVC

Ausnutzungnone
Automatisierbarno
Technische Auswirkungtotal

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N8.7HIGHAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionRequiredOb ein Opfer eine Aktion ausführen mussScopeChangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityHighRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Erforderlich — Opfer muss eine Datei öffnen, auf einen Link klicken oder eine Seite besuchen.
Scope
Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentegitlab
HerstellerGitLab
Mindestversion16.4.0
Höchstversion18.11.3
Behoben in18.11.3

Schwachstellen-Klassifikation (CWE)

CWE-79

Zeitleiste

  1. Reserviert
  2. Veröffentlicht

Mitigation und Workaroundswird übersetzt…

The primary mitigation for CVE-2026-7481 is to upgrade GitLab EE to version 18.11.3 or later. If an immediate upgrade is not feasible, consider implementing stricter input validation and output encoding within your GitLab instance. While not a complete solution, a Web Application Firewall (WAF) configured to detect and block XSS payloads can provide an additional layer of defense. Regularly review and update GitLab's security configuration to minimize the risk of similar vulnerabilities. After upgrading, confirm the fix by attempting to trigger the XSS vulnerability with a known payload and verifying that it is no longer successful.

So behebenwird übersetzt…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS).  Esta actualización corrige la falta de sanitización adecuada de la entrada, previniendo la ejecución de código JavaScript malicioso en el navegador de otros usuarios.

Häufig gestellte Fragenwird übersetzt…

What is CVE-2026-7481 — XSS in GitLab?

CVE-2026-7481 is a Cross-Site Scripting (XSS) vulnerability in GitLab EE that allows authenticated users with developer role to execute JavaScript in other users' browsers due to improper input sanitization.

Am I affected by CVE-2026-7481 in GitLab?

You are affected if you are running GitLab EE versions 16.4.0 through 18.11.3. Upgrade to version 18.11.3 or later to mitigate the risk.

How do I fix CVE-2026-7481 in GitLab?

The recommended fix is to upgrade GitLab EE to version 18.11.3 or a later version. Consider implementing WAF rules as an interim measure.

Is CVE-2026-7481 being actively exploited?

Currently, there are no publicly known active exploitation campaigns for CVE-2026-7481, but continuous monitoring is advised.

Where can I find the official GitLab advisory for CVE-2026-7481?

Refer to the official GitLab security advisory for CVE-2026-7481 on the GitLab website: [https://about.gitlab.com/security/advisories/](https://about.gitlab.com/security/advisories/)

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...