Kostenlos scannen

Diese Seite wurde noch nicht in Ihre Sprache übersetzt. Inhalte werden auf Englisch angezeigt, während wir daran arbeiten.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2026-8280CVSS 6.5

CVE-2026-8280: DoS in GitLab 8.3 - 18.11.3

Plattform

gitlab

Komponente

gitlab

Behoben in

18.11.3

Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2026-8280 describes a denial-of-service (DoS) vulnerability discovered in GitLab Community Edition (CE) and Enterprise Edition (EE). This flaw allows an authenticated user to trigger excessive memory consumption within the GitLab instance, potentially leading to service instability and unavailability. The vulnerability impacts versions 8.3 up to and including 18.11.3, with a fix available in version 18.11.3.

Auswirkungen und Angriffsszenarienwird übersetzt…

An attacker exploiting CVE-2026-8280 could leverage a crafted input to exhaust GitLab's memory resources. This can manifest as a complete service outage, preventing legitimate users from accessing the platform. The impact is particularly severe in production environments where GitLab is critical for code management and collaboration. While the vulnerability requires authentication, a compromised user account or a user with sufficient privileges could be exploited to cause significant disruption. The memory exhaustion could also indirectly impact other processes running on the same server, potentially affecting related services.

Ausnutzungskontextwird übersetzt…

CVE-2026-8280 was published on May 14, 2026. Its severity is currently assessed as medium (CVSS 6.5). There are no public exploits or active campaigns reported at this time. The vulnerability is not currently listed on KEV or EPSS, indicating a low probability of immediate exploitation. Monitor security advisories and threat intelligence feeds for any changes in the exploitation landscape.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte1 Bedrohungsbericht

CISA SSVC

Ausnutzungnone
Automatisierbarno
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H6.5MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityNoneRisiko der Offenlegung sensibler DatenIntegrityNoneRisiko nicht autorisierter DatenänderungAvailabilityHighRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Keine — kein Vertraulichkeitseinfluss.
Integrity
Keine — kein Integritätseinfluss.
Availability
Hoch — vollständiger Absturz oder Ressourcenerschöpfung. Totaler Denial of Service.

Betroffene Software

Komponentegitlab
HerstellerGitLab
Mindestversion8.3
Höchstversion18.11.3
Behoben in18.11.3

Schwachstellen-Klassifikation (CWE)

CWE-770

Zeitleiste

  1. Reserviert
  2. Veröffentlicht

Mitigation und Workaroundswird übersetzt…

The primary mitigation for CVE-2026-8280 is to upgrade GitLab to version 18.11.3 or later. If immediate upgrading is not feasible, consider implementing temporary workarounds such as rate limiting on specific API endpoints or restricting user input sizes. Monitoring GitLab's memory usage is also crucial to detect potential exploitation attempts. Review user permissions and ensure least privilege principles are enforced to limit the potential impact of a compromised account. After upgrading, confirm the fix by attempting to trigger the vulnerable input and verifying that memory consumption remains within acceptable limits.

So behebenwird übersetzt…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta actualización aborda la falta de validación de entrada que permitía un consumo excesivo de memoria.

Häufig gestellte Fragenwird übersetzt…

What is CVE-2026-8280 — DoS in GitLab 8.3 - 18.11.3?

CVE-2026-8280 is a denial-of-service vulnerability in GitLab CE/EE versions 8.3 through 18.11.3. An authenticated user can trigger excessive memory consumption, potentially causing service disruption.

Am I affected by CVE-2026-8280 in GitLab 8.3 - 18.11.3?

You are affected if you are running GitLab CE/EE versions 8.3 through 18.11.3. Upgrade to version 18.11.3 or later to mitigate the vulnerability.

How do I fix CVE-2026-8280 in GitLab 8.3 - 18.11.3?

Upgrade GitLab to version 18.11.3 or later. Consider temporary workarounds like rate limiting if immediate upgrading is not possible.

Is CVE-2026-8280 being actively exploited?

Currently, there are no reports of active exploitation or public exploits for CVE-2026-8280, but monitoring is still recommended.

Where can I find the official GitLab advisory for CVE-2026-8280?

Refer to the official GitLab security advisory for CVE-2026-8280 on the GitLab website: [https://gitlab.com/security/advisories/](https://gitlab.com/security/advisories/)

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...