Escanear grátis

Esta página ainda não foi traduzida para o seu idioma. Exibindo conteúdo em inglês enquanto trabalhamos nisso.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2026-6335CVSS 5.4

CVE-2026-6335: XSS in GitLab 18.11

Plataforma

gitlab

Componente

gitlab

Corrigido em

18.11.3

Ver no NVD
Salvar
Traduzindo para o seu idioma…

CVE-2026-6335 is a Cross-Site Scripting (XSS) vulnerability affecting GitLab Community Edition (CE) and Enterprise Edition (EE). This flaw allows an authenticated user, under specific conditions, to execute arbitrary code within the browser session of another user. The vulnerability impacts GitLab versions 18.11.0 through 18.11.3, and a fix is available in version 18.11.3.

Impacto e Cenários de Ataquetraduzindo…

Successful exploitation of CVE-2026-6335 could allow an attacker to impersonate another user within GitLab, potentially gaining access to sensitive data or performing actions on their behalf. This could include viewing private repositories, modifying project settings, or even accessing administrative functions if the targeted user possesses elevated privileges. The impact is amplified if the targeted user has access to critical infrastructure or sensitive data, leading to a broader compromise of the GitLab instance. The ability to execute code within another user's browser session represents a significant security risk, as it bypasses traditional authentication mechanisms.

Contexto de Exploraçãotraduzindo…

CVE-2026-6335 was published on 2026-05-14. As of this date, there are no publicly known active campaigns exploiting this vulnerability. No public Proof-of-Concept (POC) code has been released. The vulnerability is not listed on KEV (Kernel Exploit Vulnerability) and has a low EPSS (Exploit Prediction Scoring System) score, indicating a relatively low probability of exploitation in the wild.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N5.4MEDIUMAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredLowNível de autenticação necessárioUser InteractionRequiredSe a vítima precisa tomar uma açãoScopeChangedImpacto além do componente afetadoConfidentialityLowRisco de exposição de dados sensíveisIntegrityLowRisco de modificação não autorizada de dadosAvailabilityNoneRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Baixo — qualquer conta de usuário válida é suficiente.
User Interaction
Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
Scope
Alterado — o ataque pode pivotar para além do componente vulnerável.
Confidentiality
Baixo — acesso parcial ou indireto a alguns dados.
Integrity
Baixo — o atacante pode modificar alguns dados com alcance limitado.
Availability
Nenhum — sem impacto na disponibilidade.

Software Afetado

Componentegitlab
FornecedorGitLab
Versão mínima18.11.0
Versão máxima18.11.3
Corrigido em18.11.3

Classificação de Fraqueza (CWE)

CWE-79

Linha do tempo

  1. Reservado
  2. Publicada

Mitigação e Soluções Alternativastraduzindo…

The primary mitigation for CVE-2026-6335 is to immediately upgrade GitLab to version 18.11.3 or later. If upgrading is not immediately feasible, consider implementing stricter input validation on user-supplied data within GitLab. While not a direct fix, this can help reduce the attack surface. Review GitLab's security configuration and ensure that all security features are enabled and properly configured. Monitor GitLab logs for any suspicious activity that might indicate exploitation attempts.

Como corrigirtraduzindo…

Actualice GitLab a la versión 18.11.3 o posterior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS). Esta actualización corrige la sanitización inadecuada de la entrada, previniendo la ejecución de código arbitrario en el navegador de otros usuarios.

Perguntas frequentestraduzindo…

What is CVE-2026-6335 — XSS in GitLab 18.11?

CVE-2026-6335 is a Cross-Site Scripting (XSS) vulnerability in GitLab CE/EE versions 18.11.0 through 18.11.3. It allows an authenticated user to potentially execute code in another user's browser session.

Am I affected by CVE-2026-6335 in GitLab 18.11?

If you are running GitLab CE or EE versions 18.11.0, 18.11.1, 18.11.2, or 18.11.3, you are potentially affected by this vulnerability. Upgrade to 18.11.3 or later.

How do I fix CVE-2026-6335 in GitLab 18.11?

The recommended fix is to upgrade GitLab to version 18.11.3 or a later version. This patch addresses the improper sanitization issue.

Is CVE-2026-6335 being actively exploited?

As of 2026-05-14, there are no publicly known active campaigns exploiting this vulnerability, and no public POC code is available.

Where can I find the official GitLab advisory for CVE-2026-6335?

Refer to the official GitLab security advisory for CVE-2026-6335 on the GitLab website: [https://gitlab.com/security/advisories/](https://gitlab.com/security/advisories/)

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
ao vivoverificação gratuita

Experimente agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...