Escanear gratis

Esta página aún no ha sido traducida a tu idioma. Mostrando contenido en inglés mientras trabajamos en ello.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

HIGHCVE-2026-6073CVSS 8.7

CVE-2026-6073: XSS in GitLab 18.7 - 18.11

Plataforma

gitlab

Componente

gitlab

Corregido en

18.11.3

Ver en NVD
Guardar
Traduciendo a tu idioma…

CVE-2026-6073 describes a Cross-Site Scripting (XSS) vulnerability discovered in GitLab EE. This flaw allows an authenticated user to inject and execute arbitrary JavaScript code within the browsers of other GitLab users. The vulnerability impacts versions 18.7.0 through 18.11.3, and a patch is available in version 18.11.3.

Impacto y Escenarios de Ataquetraduciendo…

Successful exploitation of CVE-2026-6073 could lead to a wide range of malicious activities. An attacker could steal session cookies, allowing them to impersonate other users and gain unauthorized access to sensitive data. They could also inject malicious scripts to deface GitLab pages, redirect users to phishing sites, or even execute arbitrary commands on the server if the browser has sufficient privileges. The impact is particularly severe given GitLab's widespread use in software development and DevOps workflows, where sensitive code and project data are often stored.

Contexto de Explotacióntraduciendo…

CVE-2026-6073 was published on May 14, 2026. As of this date, there is no public evidence of active exploitation in the wild. The vulnerability is not currently listed on KEV or EPSS, suggesting a low to medium probability of exploitation. Public proof-of-concept (POC) code may emerge, increasing the risk. Refer to the official GitLab advisory for further details.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta
Informes1 informe de amenaza

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N8.7HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionRequiredSi la víctima debe realizar una acciónScopeChangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityNoneRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
Scope
Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Ninguno — sin impacto en disponibilidad.

Software Afectado

Componentegitlab
ProveedorGitLab
Versión mínima18.7.0
Versión máxima18.11.3
Corregido en18.11.3

Clasificación de Debilidad (CWE)

CWE-79

Cronología

  1. Reservado
  2. Publicada

Mitigación y Workaroundstraduciendo…

The primary mitigation for CVE-2026-6073 is to upgrade GitLab EE to version 18.11.3 or later. If an immediate upgrade is not possible, consider implementing stricter input validation and output encoding measures to sanitize user-supplied data. Web Application Firewalls (WAFs) configured with rules to detect and block XSS payloads can provide an additional layer of defense. Regularly review and update GitLab's security configuration to ensure best practices are followed. After upgrading, confirm the fix by attempting to inject a simple JavaScript payload through a user input field and verifying that it is properly sanitized.

Cómo corregirlotraduciendo…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS).  Esta actualización corrige la falta de sanitización adecuada de la entrada del usuario, previniendo la ejecución de código JavaScript malicioso en el navegador de otros usuarios. Consulte las notas de la versión para obtener instrucciones detalladas de actualización.

Preguntas frecuentestraduciendo…

What is CVE-2026-6073 — XSS in GitLab?

CVE-2026-6073 is a Cross-Site Scripting (XSS) vulnerability in GitLab EE that allows authenticated users to execute JavaScript in other users' browsers. It affects versions 18.7.0–18.11.3.

Am I affected by CVE-2026-6073 in GitLab?

You are affected if you are running GitLab EE versions 18.7.0 through 18.11.3. Check your GitLab version immediately and upgrade if necessary.

How do I fix CVE-2026-6073 in GitLab?

Upgrade GitLab EE to version 18.11.3 or later. If immediate upgrade isn't possible, implement stricter input validation and output encoding.

Is CVE-2026-6073 being actively exploited?

As of May 14, 2026, there is no public evidence of active exploitation in the wild, but the risk remains until patched.

Where can I find the official GitLab advisory for CVE-2026-6073?

Refer to the official GitLab security advisory for CVE-2026-6073: [https://gitlab.com/security/advisories/CVE-2026-6073](https://gitlab.com/security/advisories/CVE-2026-6073)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...