Platform
gitlab
Component
gitlab
Opgelost in
18.8.9
18.9.5
18.10.3
CVE-2026-1516 beschrijft een informatielek in GitLab Enterprise Edition (EE). Deze kwetsbaarheid maakt het mogelijk voor een geauthenticeerde gebruiker om IP-adressen van andere gebruikers te onthullen via Code Quality rapporten, mits deze rapporten zijn samengesteld met kwaadaardige content. De kwetsbaarheid treft versies van GitLab EE tussen 18.0.0 en 18.10.3, exclusief 18.10.3. Een patch is beschikbaar in versie 18.10.3.
De impact van deze kwetsbaarheid is dat een aanvaller in staat is om de IP-adressen van andere gebruikers binnen een GitLab omgeving te achterhalen. Dit kan leiden tot profilering van gebruikers, en in combinatie met andere informatie, mogelijk tot gerichte phishing-aanvallen of andere vormen van sociale engineering. Hoewel de aanvaller geauthenticeerd moet zijn, kan dit een significant risico vormen in omgevingen waar interne gebruikers toegang hebben tot Code Quality rapporten. De kwetsbaarheid is beperkt tot GitLab EE en treft niet de Community Edition.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-04-08. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus. De kans op actieve exploitatie is op dit moment laag, maar het is belangrijk om de patch zo snel mogelijk toe te passen.
Organizations using GitLab Enterprise Edition (EE) with versions between 18.0.0 and 18.10.3 are at risk. Teams relying heavily on Code Quality reports for security assessments are particularly vulnerable, as are those with less stringent access controls to these reports.
• gitlab / server:
# Check GitLab version
gitlab-ctl version• gitlab / logs:
# Monitor Code Quality report generation logs for unusual activity
grep -i 'code quality report' /var/log/gitlab/gitlab-rails/production.log• generic web:
# Check for exposed Code Quality endpoints
curl -I https://<gitlab_url>/api/v4/quality_reportsdisclosure
Exploit Status
EPSS
0.04% (14% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-1516 is het updaten van GitLab EE naar versie 18.10.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan om de toegang tot Code Quality rapporten te beperken tot vertrouwde gebruikers. Controleer de content van Code Quality rapporten op verdachte patronen. Na de upgrade, verifieer de fix door een testrapport te genereren en te controleren of de IP-adressen van andere gebruikers niet worden weergegeven.
Werk GitLab bij naar versie 18.8.9 of hoger, 18.9.5 of hoger, of 18.10.3 of hoger om de kwetsbaarheid te mitigeren. Deze update corrigeert een probleem dat het lekken van IP-adressen van gebruikers die de Code Quality rapporten bekijken mogelijk maakte.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-1516 is a vulnerability in GitLab EE where a crafted Code Quality report can leak IP addresses of users viewing it, impacting user privacy.
You are affected if you are using GitLab EE versions 18.0.0 through 18.10.3. Upgrade to 18.10.3 or later to mitigate the risk.
Upgrade GitLab EE to version 18.10.3 or later. Consider restricting access to Code Quality reports as a temporary workaround.
There is currently no indication of active exploitation or a public proof-of-concept for CVE-2026-1516.
Refer to the official GitLab security advisory for CVE-2026-1516: [https://gitlab.com/security/advisories/CVE-2026-1516](https://gitlab.com/security/advisories/CVE-2026-1516)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.