In sintesiGitLab ha rilasciato una patch per otto vulnerabilità nelle versioni 19.1.2, 19.0.4 e 18.11.7 delle edizioni Community ed Enterprise. La più grave è la CVE-2026-6896, con un punteggio CVSS di 8.7. Le vulnerabilità permettono il furto della sessione e l'esecuzione di script nella sessione di altri utenti. GitLab non ha segnalato sfruttamenti attivi.
E’ stata rilasciata l’8 luglio 2026 una patch che riguarda GitLab relativamente alle versioni 19.1.2, 19.0.4 e 18.11.7. L’aggiornamento corregge otto vulnerabilità di sicurezza nelle edizioni Community ed Enterprise. La più grave è una vulnerabilità di cross-site scripting persistente, monitorata con il codice CVE-2026-6896, con un punteggio CVSS di 8.7.
GitLab al momento non ha segnalato casi di sfruttamento attivo dei bug di sicurezza.
GitLab ospita il codice sorgente, i segreti e le pipeline CI/CD per molti team. Pertanto, una vulnerabilità basata sul browser può raggiungere progetti sensibili. Il bug principale richiede solo l’accesso con il ruolo di sviluppatore, che molti collaboratori già possiedono. Due correzioni consentono a un utente di eseguire script nella sessione di un altro utente. Ciò apre la porta al furto di sessione e alla manomissione del repository.
La vulnerabilità principale, CVE-2026-6896, risiede nel renderer della tabella delle prove di vulnerabilità. Un utente con ruolo di sviluppatore potrebbe inserire uno script tramite input non sanificato. Quando una vittima visualizza la pagina, lo script viene eseguito nel suo browser. Una seconda falla, nello specifico monitorata con il codice CVE-2026-13320, consente l’iniezione di codice HTML tramite il markup wiki. Entrambe sono classiche vulnerabilità di cross-site scripting. Le restanti sei riguardano l’esposizione delle credenziali nel mirroring dei repository, l’autorizzazione debole e la divulgazione di progetti privati.
Le vulnerabilità interessavano un’ampia gamma di build di GitLab CE e EE prima della correzione. GitLab.com utilizza già il codice corretto e i clienti con abbonamento Dedicated non devono intraprendere alcuna azione. I ricercatori hanno segnalato i bug tramite il programma di bug bounty HackerOne di GitLab.
Gli amministratori con infrastruttura autogestita dovrebbero aggiornare ora alle versioni 19.1.2, 19.0.4 o 18.11.7. Non esiste una soluzione alternativa, quindi l’applicazione della patch è l’unica soluzione. Per l’elenco completo delle CVE, consultare le note di rilascio della patch di GitLab.
Questo rilascio di patch segue una cadenza di sicurezza bisettimanale del fornitore e i dettagli completi del problema saranno resi pubblici 30 giorni dopo il rilascio.
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response