प्लेटफ़ॉर्म
gitlab
घटक
gitlab
में ठीक किया गया
18.8.9
18.9.5
18.10.3
CVE-2026-1516 GitLab EE में एक सुरक्षा भेद्यता है जो कोड क्वालिटी रिपोर्ट में मौजूद है। यह भेद्यता प्रमाणित उपयोगकर्ताओं को विशेष रूप से तैयार सामग्री के माध्यम से अन्य उपयोगकर्ताओं के IP पते लीक करने की अनुमति दे सकती है। यह भेद्यता GitLab के संस्करण 18.0.0 से 18.10.3 तक के संस्करणों को प्रभावित करती है। GitLab ने इस समस्या को 18.10.3 में ठीक कर दिया है।
यह भेद्यता एक प्रमाणित हमलावर को GitLab कोड क्वालिटी रिपोर्ट में अन्य उपयोगकर्ताओं के IP पते उजागर करने की अनुमति देती है। हमलावर विशेष रूप से तैयार सामग्री को रिपोर्ट में इंजेक्ट कर सकता है, जिससे अन्य उपयोगकर्ताओं के IP पते उजागर हो सकते हैं। यह जानकारी हमलावर को लक्षित उपयोगकर्ताओं की पहचान करने और उन्हें लक्षित करने के लिए उपयोग की जा सकती है। IP पते के लीक होने से गोपनीयता का उल्लंघन हो सकता है और आगे के हमलों का मार्ग प्रशस्त हो सकता है। यह भेद्यता GitLab के अन्य घटकों तक पहुंच प्राप्त करने के लिए भी उपयोग की जा सकती है, जिससे संभावित रूप से सिस्टम की सुरक्षा से समझौता हो सकता है।
CVE-2026-1516 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है। यह KEV (CISA Known Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध POC (प्रूफ-ऑफ-कॉन्सेप्ट) अभी तक ज्ञात नहीं हैं। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Organizations using GitLab Enterprise Edition (EE) with versions between 18.0.0 and 18.10.3 are at risk. Teams relying heavily on Code Quality reports for security assessments are particularly vulnerable, as are those with less stringent access controls to these reports.
• gitlab / server:
# Check GitLab version
gitlab-ctl version• gitlab / logs:
# Monitor Code Quality report generation logs for unusual activity
grep -i 'code quality report' /var/log/gitlab/gitlab-rails/production.log• generic web:
# Check for exposed Code Quality endpoints
curl -I https://<gitlab_url>/api/v4/quality_reportsdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (14% शतमक)
CISA SSVC
CVE-2026-1516 के लिए प्राथमिक शमन उपाय GitLab को संस्करण 18.10.3 या बाद के संस्करण में अपग्रेड करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो कोड क्वालिटी रिपोर्ट के उपयोग को सीमित करने पर विचार करें, खासकर उन वातावरणों में जहां गोपनीयता एक महत्वपूर्ण चिंता है। WAF (वेब एप्लिकेशन फ़ायरवॉल) नियमों को लागू करने से दुर्भावनापूर्ण सामग्री के इंजेक्शन को रोकने में मदद मिल सकती है। GitLab कॉन्फ़िगरेशन की नियमित रूप से समीक्षा करें और सुनिश्चित करें कि सभी सुरक्षा सेटिंग्स सही ढंग से कॉन्फ़िगर की गई हैं। अपग्रेड के बाद, यह सत्यापित करें कि कोड क्वालिटी रिपोर्ट में IP पते लीक नहीं हो रहे हैं।
इस भेद्यता को कम करने के लिए GitLab को संस्करण 18.8.9 या उच्चतर, 18.9.5 या उच्चतर, या 18.10.3 या उच्चतर में अपडेट करें। यह अपडेट कोड क्वालिटी रिपोर्ट देखने वाले उपयोगकर्ताओं के IP पतों के रिसाव की अनुमति देने वाली समस्या को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-1516 GitLab EE में एक भेद्यता है जो प्रमाणित उपयोगकर्ताओं को कोड क्वालिटी रिपोर्ट में अन्य उपयोगकर्ताओं के IP पते लीक करने की अनुमति देती है।
यदि आप GitLab EE के संस्करण 18.0.0 से 18.10.3 तक का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
GitLab को संस्करण 18.10.3 या बाद के संस्करण में अपग्रेड करें।
CVE-2026-1516 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण किया जा सकता है।
आप GitLab सुरक्षा एडवाइजरी यहां पा सकते हैं: [https://gitlab.com/security/advisories](https://gitlab.com/security/advisories)
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।