प्लेटफ़ॉर्म
gitlab
घटक
gitlab
में ठीक किया गया
18.8.9
18.9.5
18.10.3
CVE-2026-2104 is a confidentiality vulnerability discovered in GitLab CE/EE. This flaw allows an authenticated user to potentially access confidential issues assigned to other users through the CSV export functionality. The vulnerability impacts versions 18.2 through 18.10.3, and a fix is available in version 18.10.3.
GitLab ने GitLab CE/EE के 18.2 से पहले 18.8.9, 18.9 से पहले 18.9.5 और 18.10 से पहले 18.10.3 के संस्करणों को प्रभावित करने वाली एक भेद्यता (CVE-2026-2104) को संबोधित किया है। यह भेद्यता एक प्रमाणित उपयोगकर्ता को CSV निर्यात के माध्यम से अन्य उपयोगकर्ताओं को सौंपे गए गोपनीय मुद्दों तक पहुंचने की अनुमति दे सकती है, अपर्याप्त प्राधिकरण जांच के कारण। संभावित प्रभाव में परियोजना विवरण, कार्य योजनाओं और मुद्दों के भीतर साझा किए गए गोपनीय डेटा जैसे संवेदनशील जानकारी का खुलासा शामिल है। प्रमाणीकरण की आवश्यकता होने के बावजूद, CSV डेटा निर्यात की आसानी से इन सूचनाओं तक अनधिकृत पहुंच की सुविधा मिल सकती है।
भेद्यता का उपयोग GitLab की CSV निर्यात कार्यक्षमता के माध्यम से किया जाता है। न्यूनतम विशेषाधिकारों वाले एक प्रमाणित उपयोगकर्ता गोपनीय के रूप में चिह्नित और अन्य उपयोगकर्ताओं को सौंपे गए मुद्दों सहित मुद्दों की सूची निर्यात कर सकता है। निर्यात करने वाले उपयोगकर्ता की अनुमतियों के उचित सत्यापन की कमी ने इस अनधिकृत पहुंच को सक्षम किया। हमलावर को GitLab उदाहरण में एक मान्य उपयोगकर्ता खाते के साथ, उन्नत विशेषाधिकारों की आवश्यकता नहीं है। CSV निर्यात एक सामान्य सुविधा है, जो इस भेद्यता को खोजना और उसका शोषण करना आसान बना सकती है।
Organizations heavily reliant on GitLab for issue tracking and project management are at risk. Teams handling sensitive data within GitLab, such as legal, finance, or HR, are particularly vulnerable. Users with administrative privileges or those with broad access to GitLab projects should be prioritized for remediation.
• gitlab: Examine GitLab access logs for unusual CSV export activity, particularly from users who do not typically export data.
journalctl -u gitlab-rails -f | grep 'CSV export'• generic web: Monitor GitLab instance's web server access logs for requests to CSV export endpoints with unusual parameters or user agents.
curl -I <gitlab_url>/<issue_id>.csv• generic web: Check GitLab instance's error logs for any errors related to authorization failures during CSV export attempts.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, GitLab संस्करण 18.10.3 या बाद के संस्करण में अपग्रेड करने या 18.8 या 18.9 शाखाओं में सुधार शामिल करने वाले बाद के संस्करण में अपग्रेड करने की पुरजोर अनुशंसा की जाती है। अपग्रेड यह सुनिश्चित करता है कि गोपनीय मुद्दों तक अनधिकृत पहुंच को रोकने के लिए आवश्यक प्राधिकरण जांच लागू की गई हैं। इसके अतिरिक्त, उपयोगकर्ताओं को केवल उन सूचनाओं तक पहुंच प्रदान करने के लिए परियोजना और समूह एक्सेस नीतियों की समीक्षा करें जिनकी उन्हें आवश्यकता है। CSV डेटा निर्यात गतिविधि की निगरानी भी संभावित अनधिकृत पहुंच प्रयासों का पता लगाने में मदद कर सकती है।
Actualice a GitLab versión 18.8.9 o superior, 18.9.5 o superior, o 18.10.3 o superior. Esta actualización corrige una vulnerabilidad de bypass de autorización que permitía a usuarios autenticados acceder a issues confidenciales asignadas a otros usuarios a través de la exportación en formato CSV.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
प्रभावित संस्करण GitLab CE/EE के 18.2 से पहले 18.8.9, 18.9 से पहले 18.9.5 और 18.10 से पहले 18.10.3 हैं।
GitLab के आधिकारिक दस्तावेज़ में दिए गए अपडेट निर्देशों का पालन करें: [https://docs.gitlab.com/ee/update/](https://docs.gitlab.com/ee/update/)
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो CSV निर्यात कार्यक्षमता तक पहुंच को प्रतिबंधित करने या निर्यात गतिविधि की बारीकी से निगरानी करने पर विचार करें।
जांचें कि आप GitLab का कौन सा संस्करण चला रहे हैं। यदि यह 18.10.3 या बाद का संस्करण है, या 18.8 या 18.9 शाखाओं में सुधार शामिल करने वाला कोई बाद का संस्करण है, तो आपके उदाहरण को पहले ही पैच कर दिया गया है।
CVE-2026-2104 इस भेद्यता के लिए एक अनूठा पहचानकर्ता है, जिसे कॉमन भेद्यता और एक्सपोजर (CVE) परियोजना द्वारा सौंपा गया है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।