Plataforma
gitlab
Componente
gitlab
Corregido en
18.8.9
18.9.5
18.10.3
Se ha identificado una vulnerabilidad en GitLab EE que permite a un usuario autenticado filtrar direcciones IP de otros usuarios que visualizan informes de Code Quality. Esta filtración se produce a través de la inclusión de contenido especialmente diseñado en los informes. La vulnerabilidad afecta a las versiones de GitLab EE desde 18.0.0 hasta 18.10.3, excluyendo las versiones corregidas. La solución recomendada es actualizar a la versión 18.10.3.
La vulnerabilidad CVE-2026-1516 permite a un atacante, una vez autenticado en GitLab, comprometer la privacidad de otros usuarios al revelar sus direcciones IP. Esto podría utilizarse para identificar usuarios específicos dentro de una organización, lo que podría facilitar ataques de ingeniería social o la recopilación de información para ataques más dirigidos. Aunque la filtración se limita a las direcciones IP de los usuarios que visualizan el informe, el impacto en la privacidad puede ser significativo, especialmente en entornos donde la confidencialidad de la información de los usuarios es crítica. No se requiere acceso externo al sistema, solo una cuenta de usuario válida.
Esta vulnerabilidad fue publicada el 8 de abril de 2026. No se ha reportado su inclusión en el KEV de CISA ni se conocen campañas de explotación activas. No existen pruebas públicas de concepto (PoC) disponibles en el momento de la publicación, lo que sugiere un riesgo de explotación relativamente bajo, aunque la facilidad de explotación una vez que se tiene acceso autenticado podría aumentar el riesgo. La severidad se evalúa como MEDIA según el CVSS.
Organizations using GitLab Enterprise Edition (EE) with versions between 18.0.0 and 18.10.3 are at risk. Teams relying heavily on Code Quality reports for security assessments are particularly vulnerable, as are those with less stringent access controls to these reports.
• gitlab / server:
# Check GitLab version
gitlab-ctl version• gitlab / logs:
# Monitor Code Quality report generation logs for unusual activity
grep -i 'code quality report' /var/log/gitlab/gitlab-rails/production.log• generic web:
# Check for exposed Code Quality endpoints
curl -I https://<gitlab_url>/api/v4/quality_reportsdisclosure
Estado del Exploit
EPSS
0.04% (14% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-1516 es actualizar GitLab EE a la versión 18.10.3 o superior. Si la actualización inmediata no es posible, se recomienda revisar cuidadosamente el contenido de los informes de Code Quality antes de compartirlos, para evitar la exposición accidental de direcciones IP. Además, se debe implementar una política de seguridad que limite el acceso a los informes de Code Quality solo a los usuarios autorizados. No existen parches de seguridad previos a la versión 18.10.3, por lo que la actualización es la única solución efectiva. Después de la actualización, confirme que los informes de Code Quality no revelan direcciones IP al visualizarlos.
Actualice GitLab a la versión 18.8.9 o superior, 18.9.5 o superior, o 18.10.3 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema que permitía la fuga de direcciones IP de usuarios que visualizaban los informes de calidad de código.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1516 is a vulnerability in GitLab EE where a crafted Code Quality report can leak IP addresses of users viewing it, impacting user privacy.
You are affected if you are using GitLab EE versions 18.0.0 through 18.10.3. Upgrade to 18.10.3 or later to mitigate the risk.
Upgrade GitLab EE to version 18.10.3 or later. Consider restricting access to Code Quality reports as a temporary workaround.
There is currently no indication of active exploitation or a public proof-of-concept for CVE-2026-1516.
Refer to the official GitLab security advisory for CVE-2026-1516: [https://gitlab.com/security/advisories/CVE-2026-1516](https://gitlab.com/security/advisories/CVE-2026-1516)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.