O GitLab lançou atualizações de segurança emergenciais para corrigir múltiplas vulnerabilidades de alta severidade em suas edições Community Edition e Enterprise Edition autogerenciadas. As falhas podem permitir ataques de XSS e negação de serviço sem autenticação.
As correções foram disponibilizadas em 13 de maio de 2026 e afetam diretamente administradores que mantêm instâncias próprias do GitLab. As plataformas hospedadas em nuvem pela empresa já receberam as mitigações no lado do serviço.
Entre os problemas mais críticos estão falhas de Cross-Site Scripting, rastreadas como CVE-2026-7481, CVE-2026-5297 e CVE-2026-6073. Elas receberam pontuação CVSS 8.7 e atingem áreas como dashboards de analytics, busca global e saída renderizada pelo Duo Agent.
Esse tipo de falha permite que um invasor injete JavaScript malicioso em páginas acessadas por usuários legítimos. Quando um desenvolvedor ou administrador visualiza o conteúdo afetado, o código pode ser executado no navegador da vítima.
O impacto potencial inclui sequestro de sessão, roubo de tokens sensíveis e manipulação de repositórios ou fluxos internos usando a identidade de uma conta autenticada. Em ambientes de desenvolvimento, isso pode afetar código-fonte, pipelines e segredos operacionais.
O pacote também corrige vulnerabilidades de negação de serviço sem autenticação. O GitLab orienta administradores a atualizar imediatamente para as versões 18.11.3, 18.10.6 ou 18.9.7.
