Gratis scannen

Deze pagina is nog niet vertaald naar uw taal. We werken eraan — de inhoud wordt voorlopig in het Engels weergegeven.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

HIGHCVE-2026-6073CVSS 8.7

CVE-2026-6073: XSS in GitLab 18.7 - 18.11

Platform

gitlab

Component

gitlab

Opgelost in

18.11.3

Bekijk op NVD
Opslaan
Wordt vertaald naar uw taal…

CVE-2026-6073 describes a Cross-Site Scripting (XSS) vulnerability discovered in GitLab EE. This flaw allows an authenticated user to inject and execute arbitrary JavaScript code within the browsers of other GitLab users. The vulnerability impacts versions 18.7.0 through 18.11.3, and a patch is available in version 18.11.3.

Impact en Aanvalsscenarioswordt vertaald…

Successful exploitation of CVE-2026-6073 could lead to a wide range of malicious activities. An attacker could steal session cookies, allowing them to impersonate other users and gain unauthorized access to sensitive data. They could also inject malicious scripts to deface GitLab pages, redirect users to phishing sites, or even execute arbitrary commands on the server if the browser has sufficient privileges. The impact is particularly severe given GitLab's widespread use in software development and DevOps workflows, where sensitive code and project data are often stored.

Uitbuitingscontextwordt vertaald…

CVE-2026-6073 was published on May 14, 2026. As of this date, there is no public evidence of active exploitation in the wild. The vulnerability is not currently listed on KEV or EPSS, suggesting a low to medium probability of exploitation. Public proof-of-concept (POC) code may emerge, increasing the risk. Refer to the official GitLab advisory for further details.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N8.7HIGHAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionRequiredOf het slachtoffer actie moet ondernemenScopeChangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Vereist — slachtoffer moet een bestand openen, op een link klikken of een pagina bezoeken.
Scope
Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componentgitlab
LeverancierGitLab
Minimumversie18.7.0
Maximumversie18.11.3
Opgelost in18.11.3

Zwakheidsclassificatie (CWE)

CWE-79

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd

Mitigatie en Workaroundswordt vertaald…

The primary mitigation for CVE-2026-6073 is to upgrade GitLab EE to version 18.11.3 or later. If an immediate upgrade is not possible, consider implementing stricter input validation and output encoding measures to sanitize user-supplied data. Web Application Firewalls (WAFs) configured with rules to detect and block XSS payloads can provide an additional layer of defense. Regularly review and update GitLab's security configuration to ensure best practices are followed. After upgrading, confirm the fix by attempting to inject a simple JavaScript payload through a user input field and verifying that it is properly sanitized.

Hoe te verhelpenwordt vertaald…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS).  Esta actualización corrige la falta de sanitización adecuada de la entrada del usuario, previniendo la ejecución de código JavaScript malicioso en el navegador de otros usuarios. Consulte las notas de la versión para obtener instrucciones detalladas de actualización.

Veelgestelde vragenwordt vertaald…

What is CVE-2026-6073 — XSS in GitLab?

CVE-2026-6073 is a Cross-Site Scripting (XSS) vulnerability in GitLab EE that allows authenticated users to execute JavaScript in other users' browsers. It affects versions 18.7.0–18.11.3.

Am I affected by CVE-2026-6073 in GitLab?

You are affected if you are running GitLab EE versions 18.7.0 through 18.11.3. Check your GitLab version immediately and upgrade if necessary.

How do I fix CVE-2026-6073 in GitLab?

Upgrade GitLab EE to version 18.11.3 or later. If immediate upgrade isn't possible, implement stricter input validation and output encoding.

Is CVE-2026-6073 being actively exploited?

As of May 14, 2026, there is no public evidence of active exploitation in the wild, but the risk remains until patched.

Where can I find the official GitLab advisory for CVE-2026-6073?

Refer to the official GitLab security advisory for CVE-2026-6073: [https://gitlab.com/security/advisories/CVE-2026-6073](https://gitlab.com/security/advisories/CVE-2026-6073)

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...