A GitLab liberou atualizações de segurança para corrigir uma série de falhas no GitLab CE e EE, incluindo vulnerabilidades que podem ser exploradas para provocar negação de serviço e abusar de fluxos internos da plataforma.
As correções foram distribuídas nas versões 18.10.3, 18.9.5 e 18.8.9.
Entre os problemas de maior impacto está a CVE-2026-5173, classificada com CVSS 8.5, que poderia permitir que um usuário autenticado acionasse métodos do lado do servidor por meio de conexões websocket, em um cenário associado a falhas de controle de acesso.
A rodada de correções também inclui falhas de negação de serviço.
A CVE-2026-1092 afeta a API de bloqueio de estado do Terraform e poderia ser explorada por um invasor sem autenticação por meio de cargas JSON malformadas.
Já a CVE-2025-12664 envolve a API GraphQL e abre caminho para DoS com consultas repetidas.
O alcance das falhas atinge diferentes faixas de versões antigas, tanto no Community Edition quanto no Enterprise Edition, o que amplia a superfície de risco para ambientes self-managed que mantiveram ciclos de atualização mais lentos.
A fornecedora recomendou a atualização imediata de todas as instalações autogerenciadas compatíveis.
A empresa informou que o GitLab.com já opera com a versão corrigida e que clientes do GitLab Dedicated não precisam adotar ação manual neste caso.
