O GitLab lançou atualizações de segurança para corrigir múltiplas vulnerabilidades nas edições Community e Enterprise, incluindo falhas em recursos do Duo AI, componentes de Wiki, APIs GraphQL, operações, pipelines e autenticação.
As correções foram disponibilizadas em 27 de maio de 2026 nas versões 19.0.1, 18.11.4 e 18.10.7.
A recomendação é que administradores de instâncias self-managed atualizem os ambientes sem demora.
A falha mais severa é a CVE-2026-4868, que afeta o GitLab Enterprise Edition a partir da versão 18.8 até compilações anteriores às versões corrigidas.
O problema envolve controle de acesso inadequado em runners de workflows do Duo AI. Em determinadas condições, um usuário autenticado poderia acionar workflows do Duo AI para serem executados sob a identidade de outro usuário.
Esse comportamento abre risco de abuso de privilégios e movimentação lateral dentro de fluxos assistidos por inteligência artificial.
O GitLab.com já opera com as versões corrigidas, e clientes do GitLab Dedicated não precisam tomar medidas.
Para instalações próprias, a prioridade é aplicar os patches, revisar logs de uso do Duo AI e da Wiki e monitorar chamadas incomuns a APIs sensíveis.
