Escanear gratis
MEDIUMCVE-2026-1322CVSS 6.8

CVE-2026-1322: Issue Creation in GitLab

Plataforma

gitlab

Componente

gitlab

Corregido en

18.11.3

Ver en NVD
Guardar

La vulnerabilidad CVE-2026-1322 afecta a GitLab CE/EE, permitiendo a usuarios autenticados con una aplicación OAuth con alcance read_api crear issues y añadir comentarios en proyectos privados, incluso si no deberían tener permiso. Esta falla de autorización se debe a una validación incorrecta. Afecta a versiones desde 16.0 hasta 18.11.3. La solución es actualizar a la versión 18.11.3.

Impacto y Escenarios de Ataque

Un atacante que pueda explotar esta vulnerabilidad podría comprometer la confidencialidad e integridad de los proyectos privados de GitLab. Podrían crear issues falsas, añadir comentarios maliciosos, o incluso manipular el flujo de trabajo del proyecto. El impacto es particularmente grave si la aplicación OAuth tiene acceso a proyectos con información sensible. Aunque la necesidad de autenticación limita el alcance, la posibilidad de abuso es significativa, especialmente en entornos con múltiples usuarios y aplicaciones OAuth integradas.

Contexto de Explotación

La vulnerabilidad CVE-2026-1322 fue publicada el 14 de mayo de 2026. No se han reportado activamente campañas de explotación públicas a la fecha. La probabilidad de explotación se considera baja a moderada, dependiendo de la prevalencia de aplicaciones OAuth con permisos read_api en las instalaciones de GitLab.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

CISA SSVC

Explotaciónnone
Automatizableno
Impacto Técnicototal

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N6.8MEDIUMAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityHighCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityNoneRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Alta — requiere condición de carrera, configuración no predeterminada o circunstancias específicas. Más difícil de explotar.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Ninguno — sin impacto en disponibilidad.

Software Afectado

Componentegitlab
ProveedorGitLab
Versión mínima16.0.0
Versión máxima18.11.3
Corregido en18.11.3

Clasificación de Debilidad (CWE)

CWE-840

Cronología

  1. Reservado
  2. Publicada

Mitigación y Workarounds

La mitigación principal es actualizar GitLab CE/EE a la versión 18.11.3 o superior. Si la actualización inmediata no es posible, revise cuidadosamente las configuraciones de OAuth y revoque los permisos read_api de cualquier aplicación que no los necesite explícitamente. Implemente políticas de seguridad más estrictas para la gestión de aplicaciones OAuth. Monitoree los registros de auditoría de GitLab en busca de actividades sospechosas relacionadas con la creación de issues y comentarios.

Cómo corregirlotraduciendo…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad. Esta actualización corrige una falla de autorización que permitía a usuarios autenticados con aplicaciones OAuth crear y comentar en issues de proyectos privados.

Preguntas frecuentes

What is CVE-2026-1322 — Issue Creation in GitLab?

CVE-2026-1322 es una vulnerabilidad de autorización en GitLab CE/EE que permite a usuarios autenticados con OAuth crear issues y comentarios en proyectos privados sin la debida autorización. La vulnerabilidad tiene una severidad de MEDIUM (CVSS 6.8).

Am I affected by CVE-2026-1322 in GitLab?

Si está utilizando GitLab CE/EE en las versiones 16.0.0–18.11.3, es posible que esté afectado. Verifique su versión y actualice a la versión 18.11.3 o superior para mitigar el riesgo.

How do I fix CVE-2026-1322 in GitLab?

La solución es actualizar GitLab CE/EE a la versión 18.11.3 o superior. Si no puede actualizar inmediatamente, revise y restrinja los permisos de OAuth.

Is CVE-2026-1322 being actively exploited?

A la fecha, no se han reportado activamente campañas de explotación públicas para CVE-2026-1322, pero la probabilidad de explotación se considera baja a moderada.

Where can I find the official GitLab advisory for CVE-2026-1322?

Puede encontrar la información oficial sobre CVE-2026-1322 en el sitio web de GitLab: [https://gitlab.com/security/advisories/](https://gitlab.com/security/advisories/)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...