Doze falhas corrigidas no GitLab
O GitLab corrigiu 12 vulnerabilidades em suas edições Community e Enterprise, incluindo duas falhas de alta severidade com pontuação CVSS 8.7 que permitem sequestro de contas de usuários. As correções foram lançadas nas versões 19.0.2, 18.11.5 e 18.10.8, e administradores de instâncias auto-hospedadas são instados a atualizar imediatamente. As falhas afetam componentes como Group SAML, Analytics Dashboard, APIs e o catálogo de CI/CD.
A vulnerabilidade mais crítica, CVE-2026-6552, é uma falha de controle de acesso inadequado na API de identidade Group SAML do GitLab EE. Um usuário autenticado com função de Group Owner pode assumir o controle da conta de outro membro explorando fraquezas na autorização do fluxo SAML. A falha afeta versões do GitLab EE a partir da 15.5.
Como as falhas funcionam
A segunda vulnerabilidade de alta severidade, CVE-2026-10087, é um bug de cross-site scripting (XSS) no Analytics Dashboard do GitLab EE. Um usuário autenticado com permissão de nível Developer pode injetar código malicioso que é executado no navegador da vítima, permitindo sequestro de sessão e escalonamento de privilégios. A falha decorre de sanitização insuficiente de entradas nos componentes do dashboard. Esse tipo de XSS é semelhante ao que a VMware corrigiu recentemente em seus produtos.
Além dessas duas, as versões corrigidas resolvem falhas adicionais que incluem negação de serviço (CVE-2026-7250 e CVE-2026-1500), injeção de HTML (CVE-2026-8589 e CVE-2026-10733), server-side request forgery (CVE-2026-9204) e múltiplos bugs de controle de acesso e autorização.
Vulnerabilidades corrigidas
| CVE | Tipo | CVSS |
|---|---|---|
| CVE-2026-6552 | Controle de acesso inadequado (Group SAML) | 8.7 |
| CVE-2026-10087 | Cross-site scripting (Analytics Dashboard) | 8.7 |
| CVE-2026-7250 | Negação de serviço | 7.5 |
| CVE-2026-8589 | Injeção de HTML | 7.3 |
| CVE-2026-1500 | Negação de serviço | 6.5 |
| CVE-2026-6269 | Controle de acesso inadequado | 5.4 |
| CVE-2026-9204 | Server-side request forgery | 5.3 |
| CVE-2026-10733 | Injeção de HTML / negação de serviço | 4.3 |
| CVE-2026-6277 | Controle de acesso inadequado | 4.3 |
| CVE-2026-6976 | Bypass de autorização | 3.7 |
| CVE-2026-3553 | Exposição de dados | 3.1 |
| CVE-2026-9694 | Impersonação | 2.6 |
Recomendações urgentes
Administradores de instâncias GitLab auto-hospedadas devem atualizar para 19.0.2, 18.11.5 ou 18.10.8. Instalações de nó único terão inatividade durante a atualização devido a migrações de banco de dados. Ambientes multi-nó podem seguir procedimentos de upgrade sem downtime. Após a atualização, revise os logs de auditoria buscando atividade suspeita nas APIs SAML e nos dashboards de analytics, e rotacione credenciais se houver indícios de exploração.
Com mais de 30 milhões de usuários registrados, o GitLab é um alvo prioritário para atacantes que buscam acessar repositórios de código-fonte, pipelines de CI/CD e credenciais de infraestrutura. A combinação das falhas de controle de acesso no SAML com o XSS no dashboard cria um vetor particularmente perigoso em organizações que utilizam SSO via SAML para gerenciar identidades de desenvolvedores. Ferramentas de desenvolvimento têm sido alvos recorrentes — recentemente, zero-days no VS Code e Claude Code ameaçaram repositórios de código. As correções também incluem atualizações das dependências Ruby JWT, componentes Rails, Gitaly e do Container Registry, reforçando a superfície de ataque da plataforma.