Kostenlos scannen
HIGHCVE-2026-6073CVSS 8.7

CVE-2026-6073: XSS in GitLab 18.7 - 18.11

Plattform

gitlab

Komponente

gitlab

Behoben in

18.11.3

Auf NVD ansehen
Speichern

CVE-2026-6073 describes a Cross-Site Scripting (XSS) vulnerability in GitLab EE. This vulnerability allows an authenticated user to inject and execute arbitrary JavaScript code within the browsers of other GitLab users. The affected versions include GitLab EE 18.7.0 through 18.11.3. A fix is available in version 18.11.3.

Auswirkungen und Angriffsszenarien

Successful exploitation of CVE-2026-6073 allows an attacker to execute malicious JavaScript code in the context of another user's GitLab session. This can lead to a wide range of attacks, including session hijacking, credential theft (e.g., stealing API tokens or passwords), and defacement of GitLab pages. An attacker could potentially gain access to sensitive project data, modify configurations, or even compromise the entire GitLab instance if they can escalate privileges. The impact is particularly severe because GitLab is often used to manage critical code repositories and infrastructure, making stolen credentials highly valuable.

Ausnutzungskontext

CVE-2026-6073 was published on 2026-05-14. The vulnerability's impact stems from the ability to execute arbitrary JavaScript, a common vector for various attacks. No public exploits or active campaigns targeting this specific CVE have been reported as of this writing. The vulnerability is not currently listed on CISA KEV. Monitor security advisories and threat intelligence feeds for any updates.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte1 Bedrohungsbericht

CISA SSVC

Ausnutzungnone
Automatisierbarno
Technische Auswirkungtotal

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N8.7HIGHAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionRequiredOb ein Opfer eine Aktion ausführen mussScopeChangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityHighRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Erforderlich — Opfer muss eine Datei öffnen, auf einen Link klicken oder eine Seite besuchen.
Scope
Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentegitlab
HerstellerGitLab
Mindestversion18.7.0
Höchstversion18.11.3
Behoben in18.11.3

Schwachstellen-Klassifikation (CWE)

CWE-79

Zeitleiste

  1. Reserviert
  2. Veröffentlicht

Mitigation und Workarounds

The primary mitigation for CVE-2026-6073 is to upgrade GitLab EE to version 18.11.3 or later. If an immediate upgrade is not possible, consider implementing stricter input validation and output encoding on user-supplied data within GitLab. While not a complete solution, a Web Application Firewall (WAF) configured to block JavaScript injection attempts can provide a temporary layer of defense. Regularly review GitLab's security configuration and ensure that all security features are enabled and properly configured.

So behebenwird übersetzt…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS).  Esta actualización corrige la falta de sanitización adecuada de la entrada del usuario, previniendo la ejecución de código JavaScript malicioso en el navegador de otros usuarios. Consulte las notas de la versión para obtener instrucciones detalladas de actualización.

Häufig gestellte Fragen

What is CVE-2026-6073 — XSS in GitLab?

CVE-2026-6073 is a Cross-Site Scripting (XSS) vulnerability in GitLab EE that allows authenticated users to execute JavaScript in other users' browsers.

Am I affected by CVE-2026-6073 in GitLab?

You are affected if you are running GitLab EE versions 18.7.0 through 18.11.3. Upgrade to 18.11.3 or later to mitigate the risk.

How do I fix CVE-2026-6073 in GitLab?

Upgrade GitLab EE to version 18.11.3 or later. Consider WAF rules as a temporary measure if immediate upgrade is not possible.

Is CVE-2026-6073 being actively exploited?

No active exploitation campaigns targeting CVE-2026-6073 have been reported as of this writing, but vigilance is still advised.

Where can I find the official GitLab advisory for CVE-2026-6073?

Refer to the official GitLab security advisory for CVE-2026-6073 on the GitLab website: [https://gitlab.com/security/advisories/](https://gitlab.com/security/advisories/)

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...